Auf Docker Hub findet sich eine riesige Bibliothek für Entwickler mit Millionen Container Images und Repositories. Die Experten von JFrog fanden knapp 3 Millionen öffentlichen Archive bzw. Repositories die bösartig oder verseucht sind. Eine groß angelegte Malwarekampagne.
Die Security-Forschung von JFrog deckte koordinierte Angriffe auf Docker Hub auf, bei denen Millionen bösartiger Repositories platziert wurden. Da die Sicherheitsforschungsteams von JFrog und Docker zusammenarbeiten, überwachen sie auch kontinuierlich die Open-Source-Software-Register, um potenzielle Malware- und Schwachstellenbedrohungen proaktiv zu identifizieren und zu beheben.
Fast 3 Millionen verseuchter Docker Archive bzw. Repositories
Das Team von JFrog hat drei groß angelegte Malware-Kampagnen entdeckt die auf Docker Hub abzielten und Millionen von „imagelosen“ Repositories mit bösartigen Metadaten versehen haben. Dabei handelt es sich um Repositories, die keine Container-Images enthalten (und daher nicht in einer Docker-Engine oder einem Kubernetes-Cluster ausgeführt werden können), sondern stattdessen bösartige Metadaten enthalten.
Docker Hub ist eine Plattform, die Entwicklern viele Funktionen bietet und zahlreiche Möglichkeiten für die Entwicklung, Zusammenarbeit und Verteilung von Docker-Images bietet. Derzeit ist es die Containerplattform Nummer eins der Wahl für Entwickler weltweit. Es hostet über 15 Millionen Repositories.
Dennoch gibt der Inhalt dieser öffentlichen Repositorien ohne ein Image Anlass zu großer Sorge. Untersuchungen haben ergeben, dass fast 20 % dieser öffentlichen Repositorien (fast drei Millionen Repositorien!) tatsächlich bösartige Inhalte hosten. Die Inhalte reichten von einfachem Spam, der Raubkopien fördert, bis hin zu extrem bösartigen Objekten wie Malware und Phishing-Sites, die von automatisch generierten Konten hochgeladen wurden.
Was hat diesen Angriff ermöglicht?
Für öffentliche Repositories fungiert Docker Hub als Community-Plattform. Benutzer können dort Images suchen und entdecken, die für ihre Projekte nützlich sein könnten. Benutzer können Repositories auch bewerten und kommentieren, sodass andere die Zuverlässigkeit und Nützlichkeit der verfügbaren Images beurteilen können.
Um Benutzern die Suche und Verwendung von Images zu erleichtern, ermöglicht Docker Hub den Repository-Betreuern, kurze Beschreibungen und Dokumentationen im HTML-Format hinzuzufügen , die auf der Hauptseite des Repositorys angezeigt werden. Normalerweise soll die Repository-Dokumentation den Zweck des Images erklären und Richtlinien für seine Verwendung bereitstellen.
Bis zu 20 Prozent der Repositories verseucht
Zusätzlich zu den großen Kampagnen, die identifiziert wurde, hat die JFrog-Analyse auch das Vorhandensein kleinerer Repositories-Gruppen offenbart. Diese Kampagnen schienen sich hauptsächlich auf Spam/SEO zu konzentrieren. Diese kleineren „Kampagnen“ enthielten jeweils weniger als 1000 Pakete.
Fast drei Millionen bösartige Repositories, von denen einige seit über drei Jahren aktiv sind, verdeutlichen den anhaltenden Missbrauch der Docker Hub-Plattform durch die Angreifer und die Notwendigkeit einer ständigen Moderation solcher Plattformen. JFrog hat einen ausführlichen Blog-Beitrag dazu auf seiner Seite.
Mehr bei JFrog.com
Über JFrog
Wir haben uns 2008 mit Liquid Software auf den Weg gemacht, um die Art und Weise zu verändern, wie Unternehmen Software-Updates verwalten und veröffentlichen. Die Welt erwartet, dass Software fortlaufend, sicher, unaufdringlich und ohne Benutzereingriff aktualisiert wird. Diese hyperverbundene Erfahrung kann nur durch Automatisierung mit einer End-to-End-DevOps-Plattform und einem binärzentrierten Fokus ermöglicht werden.