專注於容器與雲端安全的Sysdig近日分析了Docker Hub上的逾25萬個Linux映像檔,發現其中有1,652個藏有惡意程式

Docker Hub是由Docker官方所代管的雲端公共倉庫,讓全球的使用者可自由地建立、存放、下載及部署Docker容器映像檔,為全球最大的容器映像檔社群,為了維護使用者的安全,該倉庫不僅提供由Docker Library專案所審查與發表的官方映像檔,也推出驗證計畫來支援獨立軟體供應商(ISV)。

而Sysdig所分析的容器映像檔則排除了官方與通過驗證的檔案,鎖定全球使用者所上傳的公開映像檔,在逾25萬個Linux映像檔中,有1,652個含有惡意內容,涵蓋608個挖礦程式,281個嵌入式秘密,266個代理規避(Proxy Avoidance),有134個新註冊的網域,129個惡意網站,以及其它等。

Sysdig說,挖礦程式一如預期地成為最常見的惡意映像檔,排名第二的嵌入式秘密則彰顯了秘密管理的重要性,開發者也許是無意或有意將秘密置放於映像檔中,它們可能是SSH金鑰、AWS憑證、GitHub權杖或是NPM權杖等,建議應先利用敏感資料掃描工具來避免憑證的外洩。

圖片來源/Sysdig

SSH公鑰也被Sysdig掃描工具歸類為嵌入式秘密,因為當它們被放進容器映像檔時,很可能是為了非法使用而部署,例如當上傳公鑰至遠端伺服器,以允許握有私鑰的使用者可透過SSH開啟Shell與執行命令,等同於植入了後門。

不管是在哪個領域,總會出現企圖假冒為熱門品牌,採用類似名稱來混淆使用者的手法,Sysdig在Docker Hub中也發現了幾個例子,而它們實際上是挖礦程式。

熱門新聞

Advertisement