Plus d’un millier d’images de conteneurs hébergées sur le référentiel de base de données populaire Docker Hub sont malveillantes, exposant les utilisateurs à un risque de cyberattaque, ont averti les experts.
Selon un rapport de Sysdig, les images contenaient des actifs néfastes tels que des cryptomineurs, des portes dérobées et des pirates de DNS.
Les images de conteneurs sont essentiellement des modèles permettant de créer des applications rapidement et facilement, sans avoir à repartir de zéro lors de la réutilisation de certaines fonctionnalités. Docker Hub permet aux utilisateurs de télécharger et de télécharger ces images vers et depuis sa bibliothèque publique.
Types de logiciels malveillants
Le Docker Library Project examine les images et vérifie celles qu’il juge dignes de confiance, mais il y en a beaucoup qui restent non vérifiées. Sysdig a automatiquement scanné un quart de million d’images Linux non vérifiées et a découvert que 1 652 dissimulaient des éléments nuisibles.
Le cryptominage était le type d’implant malveillant le plus courant, présent dans 608 de ses images numérisées. Viennent ensuite les secrets intégrés, tels que les informations d’identification AWS, les clés SSH, les jetons GitHub et NPM. Ceux-ci ont été trouvés dans 208 des images.
Sysdig a commenté que ces clés intégrées signifient que « l’attaquant peut accéder une fois le conteneur déployé… le téléchargement d’une clé publique sur un serveur distant permet aux propriétaires de la clé privée correspondante d’ouvrir un shell et d’exécuter des commandes via SSH, similaire à l’implantation une porte dérobée.
Le typosquattage était une tactique populaire et efficace utilisée par les acteurs de la menace dans les images compromises – des versions légèrement mal orthographiées d’images populaires et fiables dans l’espoir que les victimes potentielles ne remarqueront pas et téléchargeront leur version frauduleuse à la place.
En effet, cela a fonctionné au moins 17 000 fois, car c’était le nombre combiné de téléchargements de deux images Linux typosquattées.
Sysdig affirme qu’il y a eu une augmentation de 15 % cette année de la quantité d’images extraites de la bibliothèque publique, il semble donc que le problème ne va pas disparaître de si tôt.