Docker-Hub beherbergt Millionen von bösartigen Schein-Containern
Cybersicherheitsexperten haben in den letzten fünf Jahren mehrere Kampagnen entdeckt, die auf Docker Hub abzielen, indem sie Millionen bösartiger "imageless" Container einpflanzen. Das unterstreicht erneut, wie Open-Source-Registrierungen den Weg für Angriffe auf Lieferketten ebnen könnten.
„Über vier Millionen der Repositories in Docker Hub sind im Grunde leer. Sie haben keinen Inhalt außer der Repository-Dokumentation“, so JFrog-Sicheranalyst Andrey Polkovnichenko. Darüber hinaus ist selbst die Dokumentation Fake und hat keinerlei Bezug zum Container. Stattdessen handelt es sich um eine Webseite, die Benutzer dazu verleiten soll, Phishing- oder Malware-Webseiten zu besuchen.
Von den 4,6 Millionen imageless Docker Hub Repositories wurden etwa 2,81 Millionen als Landing-Pages genutzt, um ahnungslose Benutzer auf betrügerische Websites umzuleiten. Dies geschah im Rahmen von drei großen Kampagnen:
- „Downloader“: Diese Repositories, erstellt zwischen der ersten Hälfte des Jahres 2021 und September 2023, enthalten Links zu vermeintlich raubkopierten Inhalten oder Cheats für Videospiele. Sie leiten Benutzer entweder direkt auf bösartige Quellen, oder auf eine legitime Quelle um, die wiederum JavaScript-Code enthält, der nach 500 Millisekunden auf die bösartige Nutzlast umleitet.
- „E-Book-Phishing“: Diese Repositories, erstellt Mitte 2021, leiten Benutzer, die nach E-Books suchen, auf die Website „rd.lesac.ru“ um. Dort werden sie aufgefordert, ihre Finanzdaten einzugeben, um das E-Book herunterzuladen.
- „Website“: Tausende von Repositories, die täglich von April 2021 bis Oktober 2023 erstellt wurden, enthalten in einigen Fällen Links zu einem Online-Tagebuchdienst namens Penzu oder einfachen Text. Dies deutet darauf hin, dass sie möglicherweise in frühen Testphasen verwendet wurden.
Die im Rahmen der Downloader-Kampagne übermittelte Nutzlast ist so konzipiert, dass sie einen Command-and-Control-Server (C2) kontaktiert und System-Metadaten übermittelt, woraufhin der Server mit einem Link zu geknackter Software antwortet.
Es wird vermutet, dass die Angriffe Teil einer größeren Malware-Operation sind, die Adware oder Monetarisierungs-Schemata beinhalten könnte, um finanziellen Gewinn aus der Verbreitung von Drittanbieter-Software zu erzielen.
Das genaue Ziel des Website-Clusters ist derzeit unklar, da die Kampagne auch auf Websites verbreitet wurde, die eine lockere Inhaltsmoderationspolitik haben.
JFrog hat insgesamt 208.739 gefälschte Konten gezählt, die von den Bedrohungsakteuren zur Erstellung der bösartigen und unerwünschten Repositories verwendet wurden. Docker hat nach der Entdeckung der Vorfälle alle diese Konten deaktiviert.
„Der besorgniserregendste Aspekt dieser drei Kampagnen ist, dass Benutzer kaum etwas tun können, um sich zu schützen, außer vorsichtig zu sein“, so Shachar Menashe von JFrog. „Wir haben es hier mit einer Malware-Spielwiese zu tun, die in einigen Fällen bereits seit drei Jahren in der Entwicklung ist. Diese Bedrohungsakteure sind hoch motiviert und nutzen die Glaubwürdigkeit des Namens Docker Hub, um Opfer anzulocken.“
Da Bedrohungsakteure große Anstrengungen unternehmen, um bekannte Dienstprogramme zu infizieren – wie im Fall der XZ Utils-Kompromittierung gezeigt – ist es außerordentlich wichtig, dass Entwickler äußerste Vorsicht walten lassen, wenn sie Pakete aus Open-Source-Ökosystemen herunterladen.
„Wie Murphys Gesetz besagt, wird etwas, das von Malware-Entwicklern ausgenutzt werden kann, unweigerlich auch ausgenutzt werden. Daher erwarten wir, dass diese Kampagnen in mehr Repositories als nur Docker Hub zu finden sind“, so Menashe.