Cybersecurity-onderzoekers hebben meerdere campagnes ontdekt die zich richten op Docker Hub door de afgelopen vijf jaar miljoenen kwaadaardige ‘imageless’ containers te plaatsen, wat eens te meer onderstreept hoe open-source registers de weg kunnen vrijmaken voor supply chain-aanvallen.
“Meer dan vier miljoen van de repository's in Docker Hub zijn beeldloos en hebben geen inhoud behalve de repositorydocumentatie”, zei JFrog-beveiligingsonderzoeker Andrey Polkovnichenko in een rapport gedeeld met The Hacker News.
Bovendien heeft de documentatie geen enkel verband met de container. In plaats daarvan is het een webpagina die is ontworpen om gebruikers ertoe te verleiden phishing- of malware-hostingwebsites te bezoeken.
Van de 4,79 miljoen beeldloze Docker Hub-repository's die zijn blootgelegd, zouden er 3,2 miljoen zijn gebruikt als landingspagina's om nietsvermoedende gebruikers door te sturen naar frauduleuze sites als onderdeel van drie brede campagnes:
- Downloader (opslagplaatsen gemaakt in de eerste helft van 2021 en september 2023), die links adverteert naar vermeende illegale inhoud of cheats voor videogames, maar ofwel rechtstreeks links naar kwaadaardige bronnen bevat, ofwel een legitieme bron bevat die op zijn beurt JavaScript-code bevat die doorverwijst naar de kwaadaardige lading na 500 milliseconden.
- Phishing van e-boeken (repository's die medio 2021 zijn gemaakt), waarbij gebruikers die naar e-boeken zoeken, worden omgeleid naar een website (“rd.lesac.ru”) die hen op hun beurt aanspoort hun financiële gegevens in te voeren om de e-boeken te downloaden boek.
- Website (duizenden opslagplaatsen die dagelijks worden aangemaakt van april 2021 tot oktober 2023), die in sommige gevallen een link bevat naar een online agenda-hostingservice genaamd Penzu.
De payload die wordt geleverd als onderdeel van de downloadercampagne is ontworpen om contact te maken met een command-and-control (C2)-server en systeemmetagegevens te verzenden, waarna de server reageert met een link naar gekraakte software.
Aan de andere kant is het exacte doel van het websitecluster momenteel onduidelijk, waarbij de campagne ook wordt gepropageerd op sites die een laks inhoudsmoderatiebeleid voeren.
“Het meest zorgwekkende aspect van deze drie campagnes is dat gebruikers in het begin niet veel kunnen doen om zichzelf te beschermen, behalve voorzichtigheid betrachten”, zegt Shachar Menashe, senior directeur veiligheidsonderzoek bij JFrog, in een verklaring gedeeld met Het hackernieuws.
“We kijken in essentie naar een malware-speeltuin waar in sommige gevallen al drie jaar aan gewerkt is. Deze dreigingsactoren zijn zeer gemotiveerd en verschuilen zich achter de geloofwaardigheid van de naam Docker Hub om slachtoffers te lokken.”
Nu bedreigingsactoren nauwgezette pogingen ondernemen om bekende hulpprogramma's te vergiftigen, zoals blijkt uit het geval van het XZ Utils-compromis, is het absoluut noodzakelijk dat ontwikkelaars voorzichtig zijn als het gaat om het downloaden van pakketten uit open-source-ecosystemen.
“Zoals de wet van Murphy suggereert: als iets kan worden uitgebuit door malware-ontwikkelaars, zal dat onvermijdelijk het geval zijn, dus we verwachten dat deze campagnes in meer opslagplaatsen te vinden zijn dan alleen Docker Hub”, aldus Menashe.