Tres millones de repositorios de Docker Hub utilizados para difundir malware

Tres millones de repositorios de Docker Hub se han visto afectados por una
serie de campañas de malware a gran escala en las que se han implantado
millones de archivos maliciosos desde 2021, según una nueva
investigación de Jfrog.

Según los investigadores, alrededor del 20% de los repositorios públicos de
Docker Hub albergaban
contenido malicioso.
Esto variaba desde mensajes de spam rudimentarios que promocionaban contenido
pirateado hasta malware y phishing más sofisticados, todos los cuales se
cargaban utilizando cuentas generadas automáticamente.

Estas campañas fueron posibles gracias a una función de documentación
introducida por Docker para ayudar a los usuarios a encontrar el contenedor
adecuado para sus necesidades. Docker Hub introdujo una serie de
características comunitarias para mejorar su usabilidad y permitirle funcionar
como una plataforma comunitaria para repositorios públicos.

Para ayudar a los usuarios a buscar imágenes, Docker Hub permitió a los
mantenedores de repositorios agregar descripciones breves y documentación a
sus repositorios en formato HTML, que luego se muestra en la página principal
del repositorio. La idea era proporcionar una breve explicación del propósito
de la imagen, pero los atacantes encontraron una manera de explotar esta
funcionalidad para cargar contenido malicioso en el repositorio.

JFrog descubrió que alrededor de 4,6 millones de repositorios alojados en
Docker Hub no tenían imágenes, lo que significa que no tenían contenido
excepto la documentación del repositorio; esto representa el 30% de todos los
repositorios públicos alojados en la plataforma. Sin una imagen de contenedor,
estos repositorios no se pueden utilizar, lo que indica que había un motivo
oculto detrás de estos repositorios sin imágenes.

Una investigación más profunda reveló que la mayoría de estos repositorios sin
imágenes (aproximadamente 2,81 millones) se cargaron con contenido malicioso,
y JFrog dijo que pudo vincular todos estos repositorios con tres campañas de
malware a gran escala.

JFrog extrajo todos los repositorios Docker Hub sin imágenes publicados en los
últimos cinco años y pudo identificar patrones según cuándo se cargaron, la
frecuencia de la carga y el contenido de la documentación del repositorio.
Esto permitió a los investigadores crear firmas para tipos particulares de
repositorios falsos y aplicar la firma a los repositorios sin imágenes para
agruparlos por campaña.

Dos de las campañas,
“Downloader”
y
“eBook phishing”, estuvieron particularmente activas en la primera mitad de 2021, publicando
miles de repositorios cada día. La campaña de phishing de libros electrónicos
consta de casi un millón de repositorios creados a mediados de 2021 y todos
ofrecen descargas gratuitas de libros electrónicos que contienen descripciones
y enlaces de descarga generados aleatoriamente.

Estos enlaces eventualmente redirigen a la misma página donde a los usuarios
se les promete una copia gratuita de un libro electrónico y se les solicita
que completen un formulario que registra la información de la tarjeta de
crédito del usuario y cobra a la víctima una suscripción mensual de alrededor
de U$S 50.

La campaña Downloader se refiere a un conjunto de repositorios que contienen
textos SEO generados automáticamente que propone descargar contenido pirateado
con códigos de trucos de videojuegos.

En particular, esta campaña operó en dos rondas distintas, aunque ambas
utilizaron una carga útil maliciosa idéntica: la primera ronda tuvo lugar en
2021 junto con la campaña de libros electrónicos y luego resurgió en 2023. La
etapa 2021 involucró dominios maliciosos que se disfrazaban de enlaces
acortados, pero en lugar de codificar la URL, codifican un nombre de archivo y
resuelven un enlace a un dominio diferente cada vez que se cierra un recurso
malicioso.

JFrog afirmó que el propósito de este sistema es servir como proxy para una
red de entrega de contenido (CDN) malicioso y proporcionó una lista de todos
los dominios maliciosos y acortadores fraudulentos utilizados en la campaña.

La segunda instancia de la campaña Downloader llegó en 2023 y esta vez se
centró en evitar la detección. Los repositorios sin imágenes ya no utilizaban
enlaces directos a fuentes maliciosas, sino que apuntaban a recursos legítimos
como redireccionamientos a fuentes maliciosas.

La tercera campaña
“Website SEO”
se diferenció de las dos primeras en términos de su frecuencia de carga, ya
que en su lugar cargó una pequeña cantidad de repositorios todos los días
durante tres años y limitó la cantidad de repositorios por usuario a solo uno.
JFrog señaló que esta campaña era desconcertante porque el contenido de los
repositorios no era abiertamente malicioso.

Aunque los contenedores sin imágenes se cargaron claramente con fines
malicioso, ya que los desarrolladores no podían utilizarlos, el contenido era
en su mayor parte inofensivo, a menudo solo una cadena de letras descriptivas
aleatorias.

En particular, a cada repositorio publicado por estos usuarios se le dio el
mismo nombre de “website”. Jfrog sugirió que esta campaña se utilizó
como una “prueba de estrés” para medir la eficacia del vector de ataque antes
de embarcarse en campañas verdaderamente maliciosas.

JFrog reveló sus hallazgos al equipo de seguridad de Docker, incluidos los 3,2
millones de repositorios que sospechaba albergaban contenido malicioso, todos
los cuales fueron eliminados posteriormente.

Los indicadores de compromiso (IoC) para la carga útil utilizada en las
campañas de phishing del descargador y de libros electrónicos también están
disponibles en el informe de JFrog.

Fuente:
ITPro

Leave Your Comment