La société Sysdig, qui développe une boîte à outils ouverte du même nom pour analyser le fonctionnement du système, a publié les résultats d'une étude de plus de 250 1652 images de conteneurs Linux situées dans le répertoire Docker Hub sans image vérifiée ou officielle. Résultat, XNUMX XNUMX images ont été classées comme malveillantes.
Dans 608 images, des composants pour l'extraction de crypto-monnaies ont été identifiés, dans 288 jetons d'accès ont été laissés (dans 155 clés SSH, dans 146 jetons pour AWS, dans 134 jetons pour GitHub, dans 24 jetons pour l'API NPM), dans 266 il y avait des outils pour contourner pare-feu via un proxy, 134 présentaient des domaines récemment enregistrés, 129 contenaient des appels vers des sites reconnus comme malveillants.
Certaines images de mineurs de crypto-monnaie utilisaient des noms incluant les noms de projets open source bien connus tels que Ubuntu, Golang, Joomla, Liferay et Drupal, ou utilisaient le typosquatting (attribuant des noms similaires qui diffèrent par des caractères individuels) pour attirer les utilisateurs. Les images malveillantes les plus populaires incluent Vibersastra/ubuntu et Vibersastra/golang, qui ont été téléchargées respectivement plus de 10 6900 et XNUMX XNUMX fois.
Source: opennet.ru