Más de mil imágenes de contenedores alojadas en el popular repositorio de bases de datos Docker Hub son maliciosas y ponen a los usuarios en riesgo de sufrir un ciberataque, advierten los expertos.
Según un informe de Sysdig, las imágenes contenían activos nefastos como criptomineros, puertas traseras y secuestradores de DNS.
Las imágenes de contenedores son esencialmente plantillas para crear aplicaciones de forma rápida y sencilla, sin tener que empezar desde cero al reutilizar determinadas funciones. Docker Hub permite a los usuarios cargar y descargar estas imágenes desde y hacia su biblioteca pública.
tipos de malware
El Docker Library Project revisa las imágenes y verifica aquellas que considera confiables, pero hay muchas que quedan sin verificar. Sysdig escaneó automáticamente un cuarto de millón de imágenes de Linux no verificadas y encontró que 1652 ocultaban elementos dañinos.
La criptominería fue el tipo de implante malicioso más común, presente en 608 de sus imágenes escaneadas. Luego estaban los secretos incrustados, como las credenciales de AWS, las claves SSH, los tokens de GitHub y NPM. Estos fueron encontrados en 208 de las imágenes.
Sysdig comentó que estas claves incrustadas significan que «el atacante puede obtener acceso una vez que se implementa el contenedor… cargar una clave pública en un servidor remoto permite a los propietarios de la clave privada correspondiente abrir un shell y ejecutar comandos a través de SSH, similar a implantar una puerta trasera.”
Typosquatting fue una táctica popular y exitosa utilizada por los actores de amenazas en las imágenes comprometidas: versiones ligeramente mal escritas de imágenes populares y confiables con la esperanza de que las víctimas potenciales no se den cuenta y descarguen su versión fraudulenta en su lugar.
De hecho, funcionó al menos 17.000 veces, ya que este fue el número combinado de descargas de dos imágenes de Linux con errores tipográficos.
Sysdig afirma que ha habido un aumento del 15% este año en la cantidad de imágenes extraídas de la biblioteca pública, por lo que parece que el problema no desaparecerá pronto.