Millones de contenedores maliciosos "sin imágenes" fueron plantados en Docker por más de 5 años - Masterhacks Blog

Millones de contenedores maliciosos «sin imágenes» fueron plantados en Docker por más de 5 años

Investigadores de seguridad informática han detectado múltiples operaciones dirigidas contra Docker Hub mediante la inserción de millones de contenedores maliciosos «sin imágenes» en los últimos cinco años, lo que destaca nuevamente la posibilidad de ataques a la cadena de suministro a través de registros de código abierto.

Andrey Polkovnichenko, un investigador en seguridad de JFrog, compartió en un informe: «Más de cuatro millones de los repositorios en Docker Hub carecen de imágenes y solo contienen la documentación del repositorio».

Además, la documentación no está relacionada en absoluto con el contenedor. En cambio, es una página web diseñada para atraer a los usuarios a visitar sitios de phishing o de alojamiento de malware.

De los 4.79 millones de repositorios sin imágenes descubiertos en Docker Hub, se estima que 3.2 millones de ellos se han utilizado como páginas de destino para redirigir a usuarios desprevenidos a sitios fraudulentos como parte de tres campañas amplias:

  • Descargador (repositorios creados en la primera mitad de 2021 y septiembre de 2023), que promociona enlaces a contenido supuestamente pirateado o trucos para videojuegos, pero que en realidad conducen directamente a fuentes maliciosas o a una legítima que, a su vez, contiene código JavaScript que redirige a la carga maliciosa después de 500 milisegundos.
  • Phishing de libros electrónicos (repositorios creados a mediados de 2021), que desvía a los usuarios que buscan libros electrónicos a un sitio web («rd.lesac.ru») que, a su vez, les insta a ingresar su información financiera para descargar el libro electrónico.
  • Sitio web (miles de repositorios creados diariamente desde abril de 2021 hasta octubre de 2023), que incluye un enlace a un servicio de alojamiento de diarios en línea llamado Penzu en algunos casos.

La carga útil entregada como parte de la campaña del descargador está diseñada para conectarse a un servidor de comando y control (C2) y enviar metadatos del sistema, después de lo cual el servidor responde con un enlace a software crackeado.

Por otro lado, el objetivo preciso del conjunto de sitios web aún no está claro, ya que la campaña también se propaga en sitios que tienen una política de moderación de contenido menos estricta.

«La preocupación principal de estas tres campañas radica en que los usuarios tienen escasas opciones para resguardarse desde el principio, más allá de ejercer precaución», comentó Shachar Menashe, director senior de investigación de seguridad en JFrog.

«Básicamente, estamos observando un campo de pruebas para malware que, en algunos casos, ha estado en desarrollo durante tres años. Estos actores de amenazas están altamente motivados y se amparan en la credibilidad del nombre de Docker Hub para atraer a las víctimas».

Dado el esfuerzo meticuloso que los actores de amenazas invierten en envenenar utilidades ampliamente conocidas, tal como se evidencia en el caso del compromiso de XZ Utils, es fundamental que los desarrolladores procedan con cautela al descargar paquetes de los ecosistemas de código abierto.

«Como sugiere la Ley de Murphy, si algo puede ser explotado por desarrolladores de malware, inevitablemente lo será, por lo que esperamos que estas campañas puedan encontrarse en más repositorios además de Docker Hub», añadió Menashe.

Gracias por apoyar el libre conocimiento con tu donación!
Bitcoin: bc1q4sw9260twfcxatj8mjp7358cyvrf8whzlelyhj
Ethereum: 0xFb93D2a3c9d1A0b83EE629c2dE1725BCa192e581
Litecoin: LbFduJmHvQXcpCnwfUT7aJ4DYoWSL3iQw8
Dogecoin: D7QQVqNR5rk215A4zd2gyzV9P2bLQtZHFV
Transferencia bancaria en México:
Cuenta CLABE: 646180224401848086 Nombre: Masterhacks LATAM Banco: STP

Unete a nuestros grupos:
WhatsApp: https://chat.whatsapp.com/C8fqiz3aDDc58VRRd1vdrb
Telegram: https://t.me/masterhacks_net
Canal de WhatsApp https://whatsapp.com/channel/0029VaBBLCn5vKAH9NOWCl3K

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *