2,8 Millionen Docker-Hub-Repositories mit Malware oder Phishing verseucht
Erneut gab es Angriffe auf öffentliche Repositories, diesmal auf Docker Hub. Die Hacker verteilten Trojaner oder stahlen Kreditkartendaten.
Sicherheitsspezialisten der DevOps-Plattform JFrog haben 2,8 Millionen schädliche Docker-Hub-Repositories gefunden, was 19 Prozent aller Repos entspricht. Dabei handelte es sich um image-lose Verzeichnisse, die nur Metadaten, insbesondere eine Beschreibung mit Phishing- oder Malware-Links, enthielten.
Hacker greifen zunehmend öffentliche Software-Repositories an, um Schadcode oder Phishing-Links zu verteilen. Eine solche Attacke hat nun Docker Hub getroffen, einen Dienst, über den Developer Docker-Images verwalten und diese anderen Nutzern öffentlich zur Verfügung stellen. Neben Images enthalten die Repos Metadaten, insbesondere eine Beschreibung der Funktionen der jeweiligen Images. JFrog hat bei einer im Rahmen einer Partnerschaft mit Docker durchgeführten Analyse festgestellt, dass 4,6 Millionen der 15 Millionen Repos gar kein Image enthalten, sondern nur die Beschreibung. Knapp drei Millionen von diesen dienten schädlichen Zwecken, wurden inzwischen aber gelöscht.
JFrog hat im zeitlichen Verlauf zwei große Attacken in den Jahren 2021 und 2023 gefunden und eine kleinere, stetig arbeitende. Inhaltlich gab es hauptsächlich drei Arten von Angriffen:
- Downloader: Die Beschreibungen in den Docker-Hub-Metadaten warben für ein Programm, das illegale Downloads oder Spiele-Cheats liefern sollte, in Wirklichkeit aber einen Trojaner enthielt.
- E-Book: Die Texte versprachen kostenlose E-Books, die dahinter liegenden Webseiten versuchten jedoch, Kreditkartendaten zu stehlen oder einen Abo-Service unterzuschieben (40 bis 60 Euro im Monat).
- SEO: Eine kleine, unklare Kampagne, die keinen direkten Schaden anrichten konnte. Die Analysten von JFrog vermuten eine Testserie.
Die Hacker konnten es sich zunutze machen, dass Docker zwar Images auf Schadcode prüft, jedoch nicht die Metadaten. Der Aufwand hinter den Kampagnen war enorm, denn alle Seiten waren leicht unterschiedlich und von verschiedenen Anwendern eingestellt. Das spricht für ein hohes Erwartungspotenzial der Kriminellen. JFrog hatte Docker vor der Veröffentlichung der Analyse informiert und der Betreiber hat die Seiten gelöscht.
Die Sicherheitsanalysten weisen in der Beschreibung des Angriffs darauf hin, dass Docker-Hub-Nutzerinnen und -Nutzer auf das Trusted-Content-Feld in Repos achten sollen. Das zeigt, dass Docker die Betreiber des Repos einer Prüfung unterzogen hat.
(who)