Sysdig 公司开发了一个用于分析系统操作的同名开放工具包,该公司发布了对 Docker Hub 目录中超过 250 万个 Linux 容器镜像的研究结果,这些镜像没有经过验证或官方镜像的迹象。 结果,1652 张图像被归类为恶意图像。
在 608 个图像中,识别出了用于挖掘加密货币的组件,留下了 288 个访问令牌(155 个 SSH 密钥、146 个 AWS 令牌、134 个 GitHub 令牌、24 个 NPM API 令牌),266 个存在绕过工具通过代理访问防火墙,134 个最近注册的域,129 个包含对被识别为恶意的站点的调用。
一些加密货币矿工图像使用的名称包括知名开源项目的名称,例如 ubuntu、golang、joomla、liferay 和 drupal,或者使用误植(分配相似但个别字符不同的名称)来吸引用户。 最流行的恶意镜像包括vibersatra/ubuntu和vibersatra/golang,下载次数分别超过10万次和6900次。
来源: opennet.ru