Das Unternehmen Sysdig, das ein gleichnamiges offenes Toolkit zur Analyse des Systembetriebs entwickelt, hat die Ergebnisse einer Studie mit mehr als 250 Bildern von Linux-Containern veröffentlicht, die sich im Docker Hub-Verzeichnis befinden, ohne dass es sich um ein verifiziertes oder offizielles Bild handelt. Infolgedessen wurden 1652 Bilder als bösartig eingestuft.
In 608 Bildern wurden Komponenten für das Mining von Kryptowährungen identifiziert, in 288 Bildern blieben Zugriffstoken übrig (in 155 SSH-Schlüsseln, in 146 Tokens für AWS, in 134 Tokens für GitHub, in 24 Tokens für die NPM-API), in 266 gab es Tools zur Umgehung Firewalls über einen Proxy, 134 enthielten kürzlich registrierte Domänen und 129 enthielten Aufrufe an als bösartig erkannte Websites.
Einige Kryptowährungs-Miner-Bilder verwendeten Namen, die die Namen bekannter Open-Source-Projekte wie Ubuntu, Golang, Joomla, Liferay und Drupal enthielten, oder nutzten Typosquatting (die Zuweisung ähnlicher Namen, die sich in einzelnen Zeichen unterscheiden), um Benutzer anzulocken. Zu den beliebtesten bösartigen Bildern gehören Vibersastra/Ubuntu und Vibersastra/Golang, die mehr als 10 bzw. 6900 Mal heruntergeladen wurden.
Source: opennet.ru