Tres millones de repositorios de Docker Hub se han visto afectados por una serie de campañas de malware a gran escala en las que se han implantado millones de archivos maliciosos desde 2021, según una nueva investigación. Docker Hub es un servicio de repositorio basado en la nube que se utiliza para buscar y compartir contenedores y actualmente alberga más de 15 millones de repositorios. Según investigadores de JFrog, alrededor del 20% de los repositorios públicos de Docker Hub albergaban contenido malicioso. Esto variaba desde mensajes de spam rudimentarios que promocionaban contenido pirateado hasta malware y activos de phishing más sofisticados, todos los cuales se cargaban utilizando cuentas generadas automáticamente. Estas campañas fueron posibles gracias a una función de documentación introducida por Docker para ayudar a los usuarios a encontrar el contenedor adecuado para sus necesidades. .Docker Hub introdujo una serie de características comunitarias para mejorar su usabilidad y permitirle funcionar como una plataforma comunitaria para repositorios públicos. Para ayudar a los usuarios a buscar imágenes, Docker Hub permitió a los mantenedores de repositorios agregar descripciones breves y documentación a sus repositorios en formato HTML, que luego se muestra en la página principal del repositorio. La idea era proporcionar una breve explicación del propósito de la imagen, pero los piratas informáticos Encontró una manera de aprovechar esta funcionalidad para cargar contenido malicioso en el repositorio. Reciba nuestras últimas noticias, actualizaciones de la industria, recursos destacados y más. Regístrese hoy para recibir nuestro informe GRATUITO sobre seguridad y delitos cibernéticos de IA, recientemente actualizado para 2024. JFrog descubrió que alrededor de 4,6 millones de repositorios alojados en Docker Hub no tenían imágenes, lo que significa que no tenían contenido excepto la documentación del repositorio; esto representa el 30% de todos los repositorios públicos alojados en la plataforma. Sin una imagen de contenedor, estos repositorios no se pueden utilizar, lo que indica que había un motivo oculto detrás de estos repositorios sin imágenes. Una investigación más detallada reveló que la mayoría de estos repositorios sin imágenes (aproximadamente 2,81 millones) se cargaron con contenido malicioso, y JFrog dijo que podía vincular todos estos repositorios a tres campañas de malware a gran escala. Cada día se crean miles de repositorios Docker Hub falsos. JFrog extrajo todos los repositorios Docker Hub sin imágenes publicados en los cinco años anteriores y pudo identificar patrones según cuándo se cargaron, la frecuencia de la carga y el contenido de la documentación del repositorio. Esto permitió a los investigadores crear firmas para tipos particulares de repositorios falsos y aplicar la firma a los repositorios sin imágenes para agruparlos por campaña. Dos de las campañas, ‘Downloader’ y ‘eBook phishing’ fueron particularmente activas en la primera mitad de 2021, publicando miles de repositorios todos los días. La campaña de phishing de libros electrónicos consta de casi un millón de repositorios creados a mediados de 2021 que ofrecen descargas gratuitas de libros electrónicos que contienen descripciones y enlaces de descarga generados aleatoriamente. Estos enlaces finalmente redirigen a la misma página donde a los usuarios se les promete una copia gratuita del libro electrónico y se les solicita para completar un formulario que registra la información de la tarjeta de crédito del usuario y cobra a la víctima una suscripción mensual de alrededor de 50 dólares. La campaña Downloader se refiere a un conjunto de repositorios que contienen textos generados automáticamente con texto SEO que propone descargar contenido pirateado con códigos de trucos de videojuegos. En particular, esta campaña operó en dos rondas distintas, aunque ambas utilizaron una carga útil maliciosa idéntica: la primera ronda tuvo lugar en 2021 junto con la campaña de libros electrónicos y luego resurgió en 2023. La etapa de 2021 involucró dominios maliciosos que se disfrazaron de enlaces acortados, pero en su lugar de codificar realmente la URL, codifican un nombre de archivo y resuelven un enlace a un dominio diferente cada vez que se cierra un recurso malicioso. JFrog afirmó que el propósito de este sistema es servir como proxy para una red de entrega de contenido (CDN) malicioso, y proporcionó una lista de todos los dominios maliciosos y acortadores fraudulentos utilizados en la campaña. La segunda instancia de la campaña Downloader se produjo en 2023 y esta vez se centró en evitar la detección. Los repositorios sin imágenes ya no utilizaban enlaces directos a fuentes maliciosas, sino que apuntaban a recursos legítimos como redireccionamientos a fuentes maliciosas. SEO del sitio web: una campaña de malware sospechosamente ineficaz La tercera campaña se diferenciaba de las dos primeras en términos de su frecuencia de carga, en lugar de cargar una pequeña cantidad de repositorios todos los días durante tres años, y limitó el número de repositorios por usuario a solo uno. JFrog señaló que esta campaña era desconcertante porque el contenido de los repositorios no era abiertamente malicioso. Aunque los contenedores sin imágenes se cargaron claramente con fines nefastos, ya que los desarrolladores no podían utilizarlos, el contenido era en su mayor parte inofensivo, a menudo solo una cadena de letras descriptivas aleatorias. En particular, cada repositorio publicado por estos usuarios recibió el mismo nombre de «sitio web». . Jfrog sugirió que esta campaña se utilizó como una «prueba de estrés» para medir la eficacia del vector de ataque antes de embarcarse en campañas verdaderamente maliciosas. JFrog reveló sus hallazgos al equipo de seguridad de Docker, incluidos los 3,2 millones de repositorios que sospechaba albergaban contenido malicioso. , que fueron eliminados posteriormente. Los indicadores de compromiso (IoC) para la carga útil utilizada en las campañas de phishing del Descargador y del libro electrónico también están disponibles en el informe de JFrog.