شرکت Sysdig که یک جعبه ابزار باز به همین نام برای تجزیه و تحلیل عملکرد سیستم توسعه می دهد، نتایج مطالعه بیش از 250 هزار تصویر از کانتینرهای لینوکس واقع در فهرست داکر هاب را بدون تصویر تأیید شده یا رسمی منتشر کرده است. در نتیجه، 1652 تصویر به عنوان مخرب طبقه بندی شدند.
در 608 تصویر، اجزای استخراج ارزهای رمزنگاری شده شناسایی شدند، در 288 توکن دسترسی باقی ماندند (در 155 کلید SSH، در 146 توکن برای AWS، در 134 توکن برای GitHub، در 24 توکن برای NPM API)، در 266 توکن ابزارهای bypassing وجود داشت. فایروال ها از طریق یک پروکسی، 134 دامنه مشخص شده اخیراً ثبت شده، 129 شامل تماس با سایت هایی بود که به عنوان مخرب شناخته شده بودند.
برخی از تصاویر استخراجکننده ارزهای دیجیتال از نامهایی استفاده میکردند که شامل نام پروژههای منبع باز معروف مانند اوبونتو، گلانگ، جوملا، liferay و دروپال میشد، یا از typosquatting (تخصیص نامهای مشابه که در شخصیتهای فردی متفاوت هستند) برای جذب کاربران استفاده میکردند. از محبوب ترین تصاویر مخرب می توان به vibersastra/ubuntu و vibersastra/golang اشاره کرد که به ترتیب بیش از 10 هزار و 6900 بار دانلود شده اند.
منبع: opennet.ru