Firma Sysdig, która rozwija otwarty zestaw narzędzi o tej samej nazwie do analizy działania systemu, opublikowała wyniki badania ponad 250 tysięcy obrazów kontenerów Linux znajdujących się w katalogu Docker Hub bez zweryfikowanego lub oficjalnego obrazu. W rezultacie 1652 obrazy zostały sklasyfikowane jako złośliwe.
Na 608 obrazach zidentyfikowano komponenty do wydobywania kryptowalut, w 288 pozostawiono tokeny dostępu (w 155 kluczach SSH, w 146 tokenach dla AWS, w 134 tokenach dla GitHub, w 24 tokenach dla NPM API), w 266 znajdowały się narzędzia do omijania zapory ogniowe za pośrednictwem serwera proxy, 134 dotyczyło ostatnio zarejestrowanych domen, 129 zawierało wywołania do witryn uznanych za złośliwe.
Niektóre obrazy koparek kryptowalut wykorzystywały nazwy zawierające nazwy dobrze znanych projektów open source, takich jak ubuntu, golang, Joomla, liferay i drupal, lub wykorzystywały typosquatting (przypisywanie podobnych nazw różniących się poszczególnymi znakami), aby przyciągnąć użytkowników. Najpopularniejsze złośliwe obrazy to vibersastra/ubuntu i vibersastra/golang, które zostały pobrane odpowiednio ponad 10 tysięcy i 6900 razy.
Źródło: opennet.ru