Компания Sysdig, развивающая одноимённый открытый инструментарий для анализа работы системы, опубликовала результаты исследования более 250 тысяч образов Linux-контейнеров, размещённых в каталоге Docker Hub без признака верифицированного или официального образа. В итоге 1652 образа были классифицированы как вредоносные.
В 608 образах выявлены компоненты для майнинга криптовалют, в 288 были оставлены токены доступа (в 155 SSH-ключи, в 146 токены к AWS, в 134 токены к GitHub, в 24 токены к API NPM), в 266 имелись средства для обхода межсетевых экранов через прокси, в 134 фигурировали недавно зарегистрированные домены, в 129 присутствовали обращения к сайтам, признанным вредоносными.
Некоторые образы с майнерами криптовалют для привлечения пользователей использовали имена, включающие названия известных открытых проектов, таких как ubuntu, golang, joomla, liferay и drupal, или применяющие метод тайпсквотинга (назначение похожих имён, отличающихся отдельными символами). Из наиболее популярных вредоносных образов выделены vibersastra/ubuntu и vibersastra/golang, которые были загружены более 10 тысяч и 6900 раз соответственно.
Source: opennet.ru