Desde principios de 2021, tres amplias campañas han apuntado a los usuarios de Docker Hub, implantando millones de repositorios que alojaban sitios de malware y phishing.

Según investigadores de seguridad de JFrog, aproximadamente el 20% de los 15 millones de repositorios en Docker Hub contenían contenido malicioso, que variaba desde spam hasta malware peligroso y sitios de phishing. Identificaron casi 4.6 millones de repositorios que no albergaban imágenes de Docker, lo que los hacía incompatibles con un clúster de Kubernetes o un motor Docker, y vincularon cerca de 2.81 millones de ellos a tres grandes campañas maliciosas.

Estas campañas emplearon tácticas diferentes para crear y distribuir los repositorios maliciosos. Las campañas «Downloader» y «eBook Phishing» generaron lotes de repositorios falsos, mientras que la campaña «SEO de sitios web» creó repositorios diarios, cada uno con un único usuario.

La campaña «Downloader» presentaba textos SEO automáticos que promocionaban contenido pirateado, así como enlaces a software. Esta campaña operó en dos rondas distintas, ambas utilizando la misma carga maliciosa, detectada por la mayoría de los motores antivirus como un troyano genérico. Este, al ejecutarse muestra un cuadro de diálogo de instalación que induce al usuario a descargar e instalar el software promocionado, pero en su lugar descarga y ejecuta binarios maliciosos, programando su ejecución persistente en el sistema comprometido.

La campaña «eBook Phishing» creó cerca de un millón de repositorios ofreciendo descargas gratuitas de libros electrónicos, con descripciones y URL de descarga generadas al azar. Después de prometer una versión completa gratuita de un libro electrónico, los usuarios son redirigidos a una página de phishing que solicita información de tarjeta de crédito.

Además de estas campañas, se crearon repositorios más pequeños con menos de 1000 paquetes, enfocados principalmente en el envío de spam y contenido SEO.

JFrog informó a Docker Hub sobre 3.2 millones de repositorios sospechosos. Desde entonces, Docker ha eliminado todos los repositorios. Los ataques a Docker Hub quisieron aprovechar la credibilidad de la plataforma, dificultando la detección de intentos de instalación de phishing y malware.

La presencia de casi tres millones de repositorios maliciosos, algunos activos durante más de tres años, subraya el continuo abuso de la plataforma y la necesidad de una moderación constante.

Fuente:

Millions of Docker repos found pushing malware, phishing sites

Nearly 20% of Docker Hub Repositories Spread Malware & Phishing Scams