专注于容器与云计算安全的Sysdig近日分析了Docker Hub上的超过25万个Linux镜像文件,发现其中有1,652个藏有恶意程序。
Docker Hub是由Docker官方所托管的云计算公共仓库,让全球的用户可自由地创建、存放、下载及部署Docker容器镜像文件,为全球最大的容器镜像文件社群,为了维护用户的安全,该仓库不仅提供由Docker Library项目所审查与发布的官方镜像文件,也推出验证计划来支持独立软件供应商(ISV)。
而Sysdig所分析的容器镜像文件则排除了官方与通过验证的文件,锁定全球用户所上传的公开镜像文件,在超过25万个Linux镜像文件中,有1,652个含有恶意内容,涵盖608个挖矿程序,281个嵌入式秘密,266个代理规避(Proxy Avoidance),有134个新注册的域名,129个恶意网站,以及其它等。
Sysdig说,挖矿程序一如预期地成为最常见的恶意镜像文件,排名第二的嵌入式秘密则彰显了秘密管理的重要性,开发者也许是无意或有意将秘密放置于镜像文件中,它们可能是SSH密钥、AWS凭证、GitHub权限或是NPM权限等,建议应先利用敏感资料扫描工具来避免凭证的外泄。
图片来源/Sysdig
SSH公钥也被Sysdig扫描工具归类为嵌入式秘密,因为当它们被放进容器镜像文件时,很可能是为了非法使用而部署,例如当上传公钥至远程服务器,以允许握有私钥的用户可通过SSH打开Shell与执行命令,等同于植入了后门。
不管是在哪个领域,总会出现企图假冒为热门品牌,采用类似名称来混淆用户的手法,Sysdig在Docker Hub中也发现了几个例子,而它们实际上是挖矿程序。