Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

2,8 Millionen Docker-Hub-Repositories mit Malware oder Phishing verseucht

Erneut gab es Angriffe auf öffentliche Repositories, diesmal auf Docker Hub. Die Hacker verteilten Trojaner oder stahlen Kreditkartendaten.

In Pocket speichern vorlesen Druckansicht 23 Kommentare lesen
Stilisiertes Bild: Ein Stapel brennender Appliances

Schwachstellen bedrohen Appliances.

(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)

Lesezeit: 2 Min.
Developer
Von

Sicherheitsspezialisten der DevOps-Plattform JFrog haben 2,8 Millionen schädliche Docker-Hub-Repositories gefunden, was 19 Prozent aller Repos entspricht. Dabei handelte es sich um image-lose Verzeichnisse, die nur Metadaten, insbesondere eine Beschreibung mit Phishing- oder Malware-Links, enthielten.

Hacker greifen zunehmend öffentliche Software-Repositories an, um Schadcode oder Phishing-Links zu verteilen. Eine solche Attacke hat nun Docker Hub getroffen, einen Dienst, über den Developer Docker-Images verwalten und diese anderen Nutzern öffentlich zur Verfügung stellen. Neben Images enthalten die Repos Metadaten, insbesondere eine Beschreibung der Funktionen der jeweiligen Images. JFrog hat bei einer im Rahmen einer Partnerschaft mit Docker durchgeführten Analyse festgestellt, dass 4,6 Millionen der 15 Millionen Repos gar kein Image enthalten, sondern nur die Beschreibung. Knapp drei Millionen von diesen dienten schädlichen Zwecken, wurden inzwischen aber gelöscht.

Beispiel für eine Phishing-Seite auf Docker Hub.

(Bild: JFrog)

JFrog hat im zeitlichen Verlauf zwei große Attacken in den Jahren 2021 und 2023 gefunden und eine kleinere, stetig arbeitende. Inhaltlich gab es hauptsächlich drei Arten von Angriffen:

  • Downloader: Die Beschreibungen in den Docker-Hub-Metadaten warben für ein Programm, das illegale Downloads oder Spiele-Cheats liefern sollte, in Wirklichkeit aber einen Trojaner enthielt.
  • E-Book: Die Texte versprachen kostenlose E-Books, die dahinter liegenden Webseiten versuchten jedoch, Kreditkartendaten zu stehlen oder einen Abo-Service unterzuschieben (40 bis 60 Euro im Monat).
  • SEO: Eine kleine, unklare Kampagne, die keinen direkten Schaden anrichten konnte. Die Analysten von JFrog vermuten eine Testserie.

Die Hacker konnten es sich zunutze machen, dass Docker zwar Images auf Schadcode prüft, jedoch nicht die Metadaten. Der Aufwand hinter den Kampagnen war enorm, denn alle Seiten waren leicht unterschiedlich und von verschiedenen Anwendern eingestellt. Das spricht für ein hohes Erwartungspotenzial der Kriminellen. JFrog hatte Docker vor der Veröffentlichung der Analyse informiert und der Betreiber hat die Seiten gelöscht.

Die Attacken fanden zeitlich in zwei Höhepunkten 2021 und 2023 statt.

(Bild: JFrog)

Die Sicherheitsanalysten weisen in der Beschreibung des Angriffs darauf hin, dass Docker-Hub-Nutzerinnen und -Nutzer auf das Trusted-Content-Feld in Repos achten sollen. Das zeigt, dass Docker die Betreiber des Repos einer Prüfung unterzogen hat.

(who)

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten