Docker Hub 分析:隐藏了超 1650 个恶意镜像


Sysdig 威胁研究团队对超 250,000 个 Linux images 进行了分析,以了解在 Docker Hub 上的容器镜像中隐藏了何种恶意负载。结果表明,其中有 1,652 个被识别为恶意镜像。

研究团队根据几个类别收集了恶意镜像。分析主要集中在两个主要类别:恶意 IP 或域名,以及 secrets。两者都可能对用户下载和部署 Docker Hub 中公开可用的镜像构成威胁,使他们的环境暴露在高风险之下。

如预期的那样,cryptomining images 是最常见的类型,在 608 个容器镜像中发现;它们以服务器资源为目标,为威胁参与者挖掘加密货币。第二普遍的是 embedded secrets,共 281 起。研究人员指出,这突出了 secrets management 的持续挑战。

“由于无意中的不良编码行为,secrets 可能会嵌入 image 中,或者这可能是威胁行为者故意为之。通过将 SSH 密钥或 API 密钥嵌入到容器中,攻击者可以在部署容器后获得访问权限。为防止凭据意外泄露,敏感数据扫描工具可以在开发周期中提醒用户。”

Sysdig 还发现的许多恶意镜像使用域名仿冒来冒充合法和可信的镜像,以欺骗用户下载和部署,只是为了让用户感染 crypto-miners。而此类错误最常发生在从博客或论坛复制和粘贴代码或配置等场景下。

Sysdig 指出,很明显容器镜像已经成为一个真正的攻击媒介,而不是理论上的风险。研究发现的恶意行为者采用的方法是专门针对云和容器工作负载的,部署此类工作负载的组织应确保他们制定了适当的预防性和检测性安全控制措施,能够减轻针对云的攻击。

此外,从 2022 年的统计数据来看,从 Docker Hub 拉取的所有镜像中有 61% 来自公共存储库,比 2021 年增加了 15%,因此用户面临的风险正在上升。这意味着公共存储库提供的灵活性和其他功能深受用户喜爱,但同时也增加了暴露于恶意镜像的风险。

而 Docker Hub public library 的规模不允许其 operators 每天仔细检查所有上传;因此,许多恶意图像未被报告。Sysdig 还注意到,大多数威胁行为者只上传了一些恶意 images,因此即使删除了有风险的 images 并禁止了上传者,也不会对平台的威胁态势产生重大影响。

更多详情可查看报告全文。


相關推薦

2023-03-17

3月15日, Docker 向所有创建了“免费团队组织”的 Docker Hub 用户发送了电子邮件,称如果不升级到付费团队计划,他们的帐户将被删除,包括帐户下的所有资料。 邮件正文大致如下: Docker 正在淘汰 Free Team organisations,因为

2022-12-02

1.0 正式推出。 ClamAV 1.0.0 现已稳定,可通过 ClamAV.net 或 Docker Hub 下载。ClamAV 1.0.0 包括以下变化: 主要变化 支持解密用默认密码加密的基于 OLE2 的只读 XLS 文件。默认密码的使用现在将出现在元数据 JSON 中。 彻底检查了全

2022-12-06

理由是保证公共库镜像的安全性。最近的研究报告显示,恶意镜像已经成为软件供应链攻击中的攻击手段。而软件物料清单(SBOM)是应对软件供应链攻击的工具之一。 什么是SBOM 软件物料清单 (SBOM) 是一份正式记录,其中包含用

2022-07-27

环境的自定义证书。 一切都开箱即用,无需额外操作。 Docker Testcontainers 的测试中 Docker 镜像补全 IntelliJ IDEA 2022.2 为 Testcontainers API 引入了镜像补全,Testcontainers 包括所有可用 Docker 镜像及其版本。 点击引用即可在 Web 浏览器

2022-12-03

认会调用nginx -s reload使得nginx重新按配置初始化 如果是docker等其他情况,支持通过以下参数设置重启指令 --nginx-workdir 指定重启命令的执行目录 --nginx-cmd 指定重启命令的命令 例如如果是docker-compose执行的nginx命令 --nginx-workdir

2024-08-06

见(归属为组织)。 三、拉取/推送镜像 Docker操作步骤: 登录镜像库 docker login -u {个人唯一标识} -p {访问令牌} docker.jianmuhub.com 构建镜像 docker build -f Dockerfile -t docker.jianmuhub.com/{归属唯一标识

2023-09-08

Google 开发者在线课程 开始学习 Docker 24.0.6 现已发布,具体更新内容如下: 错误修复和功能增强 containerd storage backend:修复当内容存储中不再存在容器镜像时docker ps失败的问题。moby/moby#46095 containerd storage backend:修复当容

2022-02-22

=Document(text='world')) print(docs.texts) Flow:使用 Kubernetes 和 Docker Compose 运行 Kubernetes:使用 Flow .to_k8s_yaml('./k8s_flow') 从一个 Flow 中生成一组部署的 YAML 文件,然后使用 Kubernetes 和 kubectl 来启动和协调 Executors。Docker Compose: 使用

2023-03-27

3 月 15 日,Docker 向所有创建了“组织”的 Docker Hub 用户发出电子邮件提醒,称如果不升级至付费团队订阅,他们的账户和所有镜像都将被删除。这引发了各种批评,并且批评声音越来越激烈。最终,Docker 顶不住社区的压力,于

2023-07-09

    diving使用rust构建的docker镜像分析工具,程序体积更小,性能更,主要特性如下: 支持命令行与网页两种模式 支持四种拉取镜像方式:从镜像源、本地docker镜像中读取以及tar包 支持多个平台,包括:linux,windows

2022-01-19

DDoS 的一些变体显示其操作员扫描并搜索 2375 端口打开的 Docker 服务器。这个端口提供了一个未加密的 Docker 套接字和对主机的远程 root 无密码访问,攻击者可以滥用它来获得对机器的 root 访问权限。 CrowdStrike 研究人员发现,

2022-10-22

Docker 官方宣布,从 2022 年 10 月 27 日起将执行新的定价策略。具体包括将对 Team users 提价约 28%,对 Business users 提价 14%;并且还将 Team 账户的规模限制在 100 个用户,受影响的组织需升级至费用高了近三倍的 Business 订阅,但

2022-05-31

references 并支持 folding。 使用 Testcontainers 在测试中完成 Docker 镜像 这个新版本为 Testcontainers API 引入了 image completion,你可以在其中找到所有可用的 Docker 镜像及其版本。点击 reference 以在你的 Web 浏览器中打开相应的 Dock

2024-07-03

1.4.0-2023.0.0-RC2 [优化] 自主封装镜像变更为 Quay.Io,解决 Docker Hub 无法访问问题。 [新增] 新增邮件发送模块 [新增] 新增支持发送基于 Thymeleaf 模版的定制电子邮件消息功能。 [新增] 新增支持发送包含内联图片以及附件电子