Εκατομμύρια κακόβουλα «imageless» αρχεία έχουν τοποθετηθεί στο Docker Hub

Ειδικοί στην κυβερνοασφάλεια εντόπισαν αρκετές επιθετικές ενέργειες εναντίον του Docker Hub, ανακαλύπτοντας εκατομμύρια κακόβουλα «imageless» αρχεία τα τελευταία πέντε χρόνια.

Αυτό αναδεικνύει για ακόμα μια φορά τον κίνδυνο που εγκυμονούν τα μητρώα open-source, τα οποία διευκολύνουν τις επιθέσεις στην αλυσίδα εφοδιασμού.

Ο ερευνητής ασφαλείας του JFrog, Andrey Polkovnichenko, αποκάλυψε σε μια αναφορά που δημοσιεύτηκε στο The Hacker News ότι πάνω από τέσσερα εκατομμύρια αρχεία στο Docker Hub δεν περιέχουν καμία εικόνα.

Η τεκμηρίωση δεν σχετίζεται καθόλου με τα αρχεία. Αντιθέτως, αποτελεί μια ιστοσελίδα η οποία έχει σχεδιαστεί ειδικά για να δελεάζει τους χρήστες να επισκέπτονται ιστοσελίδες που προωθούν ψευδείς ενέργειες ή κατέχουν κακόβουλο λογισμικό.

Δείτε περισσότερα: Ενίσχυση της κυβερνοασφάλειας με “Διαχείριση Κινδύνων”

Από τα 4,79 εκατομμύρια αρχεία Docker Hub που ελέγχθηκαν και διαπιστώθηκε ότι δεν περιείχαν εικόνες, περισσότερα από 3,2 εκατομμύρια φαίνεται πως χρησιμοποιήθηκαν ως σελίδες για την ανακατεύθυνση ανυποψίαστων χρηστών προς κακόβουλους ιστότοπους, στο πλαίσιο τριών μεγάλων κακόβουλων εκστρατειών.

• Downloader, ένα πρόγραμμα που αναπτύχθηκε μεταξύ του πρώτου εξαμήνου του 2021 και του Σεπτεμβρίου 2023, προωθεί συνδέσμους προς το φερόμενο ως πειρατικό περιεχόμενο ή απάτες σχετικά με βιντεοπαιχνίδια. Ωστόσο, αυτοί οι σύνδεσμοι οδηγούν είτε κατευθείαν σε κακόβουλες ιστοσελίδες είτε σε νόμιμες ιστοσελίδες που περιέχουν JavaScript κώδικα. Αυτός ο κώδικας μετά από 500 χιλιοστά του δευτερολέπτου ανακατευθύνει τον χρήστη σε κακόβουλο λογισμικό.

• E-book phishing, που στοχεύει ηλεκτρονικά βιβλία μέσω αποθετηρίων που δημιουργήθηκαν το 2021, κατευθύνει χρήστες που επιδιώκουν να βρουν ηλεκτρονικά βιβλία προς έναν ιστότοπο (“rd.lesac.ru”). Εκεί, ενθαρρύνονται να καταχωρίσουν τα οικονομικά τους στοιχεία για να προχωρήσουν στη λήψη ενός ηλεκτρονικού βιβλίου (e-book).

• Website με χιλιάδες νέα αρχεία που δημιουργούνται καθημερινά από τον Απρίλιο του 2021 έως τον Οκτώβριο του 2023, περιλαμβάνει ενίοτε έναν σύνδεσμο προς την ηλεκτρονική υπηρεσία Penzu.

Το ωφέλιμο φορτίο, το οποίο διατίθεται στο πλαίσιο της εν λόγω καμπάνιας κυβερνοασφάλειας, είναι κατασκευασμένο ώστε να επικοινωνεί με έναν διακομιστή εντολών και ελέγχου (C2). Σκοπός του είναι να αποστέλλει metadata του συστήματος, μετά τα οποία ο διακομιστής παρέχει αντίδραση με έναν σύνδεσμο προς το παραβιασμένο λογισμικό.

Από την άλλη πλευρά, ο ακριβής στόχος του συμπλέγματος των ιστοσελίδων παραμένει ασαφής στο παρόν στάδιο, καθώς η εκστρατεία επεκτείνεται επίσης σε ιστοσελίδες με χαλαρούς ελέγχους ποιότητας περιεχομένου.

«Το πιο ανησυχητικό στοιχείο αυτών των εκστρατειών είναι η ανικανότητα των χρηστών να πάρουν προληπτικά μέτρα για την προάσπιση τους από την αρχή, εκτός από το να είναι εξαιρετικά προσεκτικοί», τόνισε ο Shachar Menashe, ανώτερος διευθυντής έρευνας ασφαλείας στην JFrog.

«Εξετάζουμε ουσιαστικά μια “κρυψώνα” κακόβουλου λογισμικού, η οποία σε κάποιες περιπτώσεις έχει δημιουργηθεί αρκετά χρόνια πριν. Αυτοί οι απειλητικοί παράγοντες διαθέτουν σημαντικά κίνητρα και επιδιώκουν να εκμεταλλευτούν την αξιοπιστία του Docker Hub για να προσελκύσουν τα θύματα.»

Καθώς οι χάκερς καταβάλλουν εντατικές προσπάθειες για να εκμεταλλευτούν εργαλεία, όπως αποδείχθηκε με τον συμβιβασμό των XZ Utils, επιβάλλεται η ανάγκη για τους προγραμματιστές να είναι ιδιαίτερα προσεκτικοί κατά την απόκτηση πακέτων από οικοσυστήματα με ανοικτό κώδικα.

Διαβάστε επίσης: Golang malware: Στοχεύει Docker, Hadoop, Redis και Confluence

“Σύμφωνα με τον νόμο του Μέρφι, αν υπάρχει περίπτωση κάτι να γίνει αντικείμενο εκμετάλλευσης από δημιουργούς κακόβουλου λογισμικού, τότε αναπόφευκτα θα συμβεί. Ως εκ τούτου, προβλέπουμε ότι τέτοιες εκστρατείες θα εξαπλωθούν σε περισσότερα αποθετήρια πέραν του Docker Hub,” δήλωσε ο Menashe.

Πηγή: thehackernews