Eine erschreckende Untersuchung hat aufgedeckt, dass fast 20% der Repositories auf Docker Hub als Übertragungswege für Malware und Phishing-Angriffe dienen, was die raffinierten Methoden unterstreicht, mit denen Cyberkriminelle die Glaubwürdigkeit der Plattform ausnutzen.
In den letzten drei Jahren haben Angreifer nahezu drei Millionen bösartige Repositories auf Docker Hub erstellt, ohne dabei direkt Entwickler oder Organisationen anzugreifen. Stattdessen nutzten sie die vertrauenswürdige Plattform, was die Erkennung von Phishing und Malware erschwerte.
Die Domains failhostingpolp[.]ru und gts794[.]com wurden mit der Verbreitung dieser schädlichen Repositories in Verbindung gebracht.
In Zusammenarbeit mit Docker hat das Sicherheitsforschungsteam von JFrog Open-Source-Software-Register sorgfältig überwacht, um potenzielle Bedrohungen proaktiv zu identifizieren und zu mindern. Diese Zusammenarbeit ist Teil einer größeren Initiative, das Software-Ökosystem gegen Cyberbedrohungen zu stärken.
Die Malware-Kampagnen im Detail
Die jüngsten Erkenntnisse zeigen drei große Malware-Kampagnen, die Docker Hub ins Visier nehmen. Alle nutzen „bildlose“ Repositories, die keine Containerbilder enthalten, sondern bösartige Metadaten, um die Funktionalitäten der Plattform auszunutzen.
Die Kampagnen, die als „Downloader“, „eBook Phishing“ und „Website SEO“ identifiziert wurden, setzen unterschiedliche Taktiken zur Verbreitung des bösartigen Inhalts ein. Während einige Kampagnen schnell gefälschte Repositories in Batches erstellten, wählten andere einen schrittweisen Ansatz, indem sie über einen längeren Zeitraum täglich einige Repositories anlegten.
Schnelle Reaktion und anhaltende Wachsamkeit
Nach der Entdeckung meldeten die JFrog-Forscher ihre Ergebnisse umgehend dem Docker-Sicherheitsteam, welches schnell reagierte und alle bösartigen sowie unerwünschten Repositories von Docker Hub entfernte. JFrog lobte diese schnelle und professionelle Reaktion, die die Bedeutung der Zusammenarbeit für die Sicherheit des Docker-Ökosystems hervorhebt.
Der Vorfall mit den Millionen bösartigen Repositories auf Docker Hub ist eine deutliche Erinnerung an die ständigen Bedrohungen, die in digitalen Plattformen lauern. Während Cyberkriminelle ihre Taktiken weiterentwickeln, sind die gemeinsamen Anstrengungen von Sicherheitsteams und Plattformanbietern entscheidend, um die Integrität des Software-Ökosystems zu schützen.
Dieser Vorfall betont die Notwendigkeit ständiger Wachsamkeit und proaktiver Maßnahmen, um das stetige Risiko von Malware und Phishing-Angriffen zu bekämpfen.