A empresa Sysdig, que desenvolve um kit de ferramentas aberto de mesmo nome para análise do funcionamento do sistema, publicou os resultados de um estudo de mais de 250 mil imagens de containers Linux localizados no diretório Docker Hub sem imagem verificada ou oficial. Como resultado, 1652 imagens foram classificadas como maliciosas.
Em 608 imagens foram identificados componentes para mineração de criptomoedas, em 288 foram deixados tokens de acesso (em 155 chaves SSH, em 146 tokens para AWS, em 134 tokens para GitHub, em 24 tokens para API NPM), em 266 havia ferramentas para contornar firewalls por meio de proxy, 134 apresentavam domínios registrados recentemente, 129 continham chamadas para sites reconhecidos como maliciosos.
Algumas imagens de mineradores de criptomoeda usaram nomes que incluíam nomes de projetos de código aberto conhecidos, como ubuntu, golang, joomla, liferay e drupal, ou usaram typosquatting (atribuição de nomes semelhantes que diferem em caracteres individuais) para atrair usuários. As imagens maliciosas mais populares incluem vibersastra/ubuntu e vibersastra/golang, que foram baixadas mais de 10 mil e 6900 vezes, respectivamente.
Fonte: opennet.ru