Docker Hub: des images téléchargées 20 millions de fois contiennent des crypto-mineurs

0

Les chercheurs ont constaté que plus de deux douzaines de conteneurs sur Docker Hub ont été téléchargés plus de 20 millions de fois pour des opérations de crypto-jacking qui ont duré au moins deux ans.

Docker Hub est la plus grande bibliothèque d’applications de conteneurs, permettant aux entreprises de partager des images en interne ou avec leurs clients, ou encore avec la communauté des développeurs pour distribuer des projets open-source.

Pas seulement Monero, mais ARO et Grin aussi

Aviv Sasson, qui fait partie de l’équipe de renseignement sur les menaces de Palo Alto Networks, Unité 42, a découvert 30 images malveillantes sur Docker Hub qui sont impliquées dans des opérations de crypto-jacking.

Le chercheur a constaté qu’ils provenaient de 10 comptes différents. Certains d’entre eux ont des noms qui indiquent clairement leur but, tandis que d’autres ont des noms trompeurs comme « proxy » ou « ggcloud » ou « docker ».

Les images de tous les comptes sauf un continuent d’être disponibles sur Docker Hub au moment de l’écriture de cet article. Le propriétaire d’un compte appelé « xmrigdocker » semble avoir retiré ses images du registre.

Dans la plupart des cas, l’opération des attaquants a miné de la crypto-monnaie Monero, XMRig étant l’outil préféré pour cet objectif. Toutefois, Sasson a constaté que certaines opérations recherchaient la crypto-monnaie Grin (GRIN) ou ARO (Aronium).

docker hub

Après avoir inspecté le minage, le chercheur estime que l’activité de crypto-jacking impliquant ces conteneurs a permis aux attaquants d’extraire 200 000 $ de crypto-monnaie.

En regardant les balises d’image, qui font référence à différentes versions, Sasson a découvert que dans certains cas, il existe différentes balises pour diverses architectures de processeur ou systèmes d’exploitation.

“Il semble que certains attaquants sont polyvalents et ajouter ces balises afin de s’adapter à un large éventail de victimes potentielles qui comprend un certain nombre de systèmes d’exploitation et architectures CPU” – Aviv Sasson

Il a également remarqué qu’il existe des balises avec différents types de cryptomineurs. Cela permettrait à l’attaquant de choisir celui qui convient le mieux au matériel de la victime, explique le chercheur.

L’élément commun pour toutes les balises d’une image est l’adresse du portefeuille ou les informations d’identification de l’espace de minage. À l’aide de ces identificateurs, le chercheur a été en mesure de lier certains des comptes malveillants avec des campagnes de crypto-jacking précédentes.

Sasson croit que ses conclusions ne représentent qu’un aperçu des opérations de crypto-jacking sur le cloud, Docker Hub n’étant qu’un des registres publics abusés de cette façon.

La liste complète des images docker malveillantes trouvées par Sasson est disponible dans l’article de blog d’Unité 42.

Si cet article vous a plu, jetez un œil à notre article précédent.

Laisser un commentaire