Sysdig, een bedrijf dat een open-source toolkit ontwikkelt voor het analyseren van systeemprestaties, heeft de resultaten gepubliceerd van een onderzoek onder meer dan 250 afbeeldingen. Linux- Containers die in de Docker Hub-directory worden gehost zonder enige indicatie dat het om geverifieerde of officiële images gaat. Uiteindelijk werden 1652 images als kwaadaardig geclassificeerd.
In 608 afbeeldingen werden componenten voor het minen van cryptocurrencies geïdentificeerd, in 288 bleven toegangstokens achter (in 155 SSH-sleutels, in 146 tokens voor AWS, in 134 tokens voor GitHub, in 24 tokens voor NPM API), in 266 waren er tools om te omzeilen firewalls via een proxy, 134 bevatten recent geregistreerde domeinen, 129 bevatten oproepen naar sites die als kwaadaardig werden herkend.
Sommige afbeeldingen van cryptominers gebruiken namen die verwijzen naar bekende open-sourceprojecten, zoals ubuntu, Golang, Joomla, Liferay en Drupal, of door middel van typosquatting (het toewijzen van vergelijkbare namen die slechts in enkele tekens verschillen). Een van de meest populaire kwaadaardige afbeeldingen is Vibersastra/ubuntu en Viberstra/Golang, die respectievelijk meer dan 10 en 6900 keer zijn gedownload.
Bron: opennet.ru
