攻击者滥用DockerHub镜像文件存储库的情况,最常见的手法是上传带有恶意组件的镜像文件,再从目标Kubernetes环境拉取,而能于受害系统植入恶意程序,从事相关攻击。但也有其他黑客以不同方式滥用这种存储库,其手法的公用点,就是没有上传Docker镜像文件。
安全企业JFrog披露滥用镜像文件存储库Docker Hub的攻击行动,就属于这种例子。研究人员发现这波攻击行动的原因,在于他们找到近460万个并未包含Docker镜像文件的存储库,研究人员进一步清查,结果发约有281万个被用于攻击行动,占全部的18.7%,换言之,平均每6个Docker Hub存储库就有1个被用于恶意行为。
这些遭到滥用的Docker Hub存储库,大致上攻击者将其用于3种类型的攻击,其中大部分是被用于声称提供盗版软件、游戏作弊程序下载器(Downloader)的恶意软件攻击,有1,453,228个,占整体存储库的9.7%;其次是佯称提供电子书的网络钓鱼攻击(eBookPhishing),有1,069,160个存储库被用来从事这类攻击,占整体的7.1%。
其中,针对前述的“下载器”攻击,对方分别在2021年及去年发动两波行动,而且,前后都使用完全相同的恶意酬载进行。一旦用户依照指示操作对方提供的下载程序,计算机就会被部署恶意软件。研究人员推测,这很有可能是大规模恶意软件攻击行动的一部分。
而对于电子书网络钓鱼的部分,攻击者声称提供完整版的电子书免费下载,若是用户依照指示点击URL,就会被重定向至另一个钓渔网页,要求输入信用卡数据。
比较特别的是被研究人员归类为“网站搜索引擎优化(Website SEO)”的存储库滥用行为,这些存储库的内容多半无害,但对于攻击目的的部分,研究人员表示并不清楚,推测对方很有可能是在从事真正的攻击行动之前,将这些存储库拿来进行压力测试。
