研究人员发现,Docker Hub上的两个以上的容器已被下载了超过2000万次,以进行至少两年的加密劫持操作。
Docker Hub是最大的容器应用程序库,使公司可以在内部或与其客户共享图像,或者允许开发人员社区分发开源项目。
不仅是门罗币,ARO和Grin
Palo Alto Networks威胁情报团队Unit 42的一部分Aviv Sasson在Docker Hub上发现了30个参与加密劫持操作的恶意映像。
研究人员发现它们来自10个不同的帐户。其中一些名称清楚地表明了其用途,而其他名称则具有误导性的名称,例如“ proxy”或“ ggcloud”或“ docker”。
在撰写本文时,除一个帐户外,所有帐户中的映像仍可在Docker Hub上使用。一个名为“ xmrigdocker”的帐户的所有者似乎已经从注册表中提取了他们的图像。
在大多数情况下,攻击者的行动都是采用Monero加密货币进行的,XMRig是为此目的最受欢迎的工具。但是,Sasson发现某些操作正在寻找Grin(GRIN)或ARO(Aronium)加密货币。
在检查了采矿池之后,研究人员估计涉及这些容器的加密劫持活动使攻击者能够开采价值约20万美元的加密货币。
通过查看引用不同版本的图像标签,Sasson发现在某些情况下,针对各种处理器体系结构或操作系统的标签是不同的。
“看来有些攻击者具有多种用途,并添加这些标签是为了适应包括许多操作系统(OS)和CPU架构在内的广泛潜在受害者” -Aviv Sasson
他还注意到,存在带有各种类型的加密矿工的标签。研究人员解释说,这将使攻击者可以选择最适合受害者硬件的硬件。
图像中所有标签的常见元素是钱包地址或挖掘池凭据。使用这些标识符,研究人员能够将某些恶意帐户与以前的加密劫持活动相关联。
Sasson相信他的发现只是对基于云的加密劫持操作的一瞥,Docker Hub只是被这种方式滥用的公共注册表之一。
Sasson发现的恶意Docker映像的完整列表可在Unit 42的博客文章中找到。
*编译:Domino
*来自:bleepingcomputer