0
0
Análise de 250 mil imagens públicas de containers no Docker Hub identifica 1652 contendo alguma espécie de malware, principalmente crypto miners
Durante uma varredura de 250 mil imagens de containers no Docker Hub, a equipe de pesquisa de ameaças da empresa de segurança norte-americana Sysdig identificou 1.652 imagens maliciosas, sendo mais de um terço delas preparadas para fazer mineração de criptomoedas (crypto mining). O alerta está num relatório intitulado “Analysis on Docker Hub malicious images: Attacks through public container images”, publicado no dia 23 de Novembro de 2022.
A equipe de pesquisa de ameaças da Sysdig coletou imagens maliciosas com base em várias categorias, conforme mostrado no gráfico. A análise se concentrou em duas categorias principais: IPs ou domínios maliciosos e ‘secrets’. Ambos podem representar uma ameaça para pessoas que baixam e implantam imagens disponíveis publicamente no Docker Hub, expondo seu ambiente a altos riscos. O gráfico separa 1.652 imagens identificadas como maliciosas por tipo de conteúdo incluído em suas camadas.
Como esperavam os pesquisadores, as imagens de criptomineração são o tipo de imagem maliciosa mais comum. No entanto, os segredos incorporados nas camadas são os segundos mais prevalentes, o que destaca os desafios persistentes do gerenciamento de segredos. Os segredos podem ser incorporados em uma imagem devido a práticas de codificação involuntariamente inadequadas ou isso pode ser feito intencionalmente por um agente de ameaça. Ao incorporar uma chave SSH ou uma chave de API no contêiner, o invasor pode obter acesso assim que o contêiner for implantado. Para evitar o vazamento acidental de credenciais, as ferramentas de verificação de dados confidenciais podem alertar os usuários como parte do ciclo de desenvolvimento.
As imagens que possuem segredos embutidos em suas camadas representam uma grande parcela das imagens maliciosas.
Os ataques à cadeia de suprimentos não são novos, mas no ano passado eles receberam muito mais atenção devido a vulnerabilidades de alto perfil em soluções muito utilizadas em TI. O ataque de 2020 contra o software de segurança SolarWinds é um dos exemplos recentes mais populares dessa técnica, em que os invasores ocultaram backdoors no próprio produto.
O Docker Hub é um repositório de imagens baseado em nuvem no qual qualquer pessoa no mundo pode baixar, criar, armazenar e implantar imagens de contêiner Docker gratuitamente. Ele fornece acesso a repositórios públicos de imagens de código aberto e cada usuário pode criar seus próprios repositórios privados para armazenar imagens pessoais.
FONTE: CISO ADVISOR