Trois campagnes à grande échelle ont ciblé les utilisateurs de Docker Hub, plantant des millions de référentiels qui ont poussé les sites malveillants et de phishing depuis début 2021.

Comme l’ont découvert les chercheurs en sécurité de JFrog, environ 20% des 15 millions de référentiels hébergés par Docker Hub contenaient du contenu malveillant, allant du spam aux logiciels malveillants dangereux et aux sites de phishing.

Les chercheurs ont découvert près de 4,6 millions de référentiels ne contenant aucune image Docker—qui ne pouvaient pas être exécutés à l’aide d’un cluster Kubernetes ou d’un moteur Docker-et ont lié environ 2,81 millions à trois grandes campagnes malveillantes.

Chacune de ces campagnes utilisait des tactiques différentes pour créer et distribuer les référentiels malveillants. Les campagnes  » Downloader « et » Ebook Phishing « ont créé de faux référentiels par lots, tandis que la campagne « Website SEO » a créé quelques référentiels quotidiennement et a utilisé un seul utilisateur par référentiel.

La campagne « Downloader » contenait des textes générés automatiquement avec du texte SEO faisant la promotion de contenus piratés ou de triche pour les jeux vidéo et des liens vers le logiciel.

« Cette campagne a fonctionné en deux cycles distincts (vers 2021 et 2023), et les deux cycles utilisaient exactement la même charge utile malveillante, un exécutable malveillant que la plupart des moteurs antivirus détectent comme un cheval de Troie générique », a déclaré JFrog.

Lorsqu’elle est exécutée, la charge utile du logiciel malveillant qu’elle a poussée affiche une boîte de dialogue d’installation qui demande à l’utilisateur de télécharger et d’installer le logiciel annoncé. Cependant, il téléchargera à la place tous les binaires malveillants de l’offre et planifiera leur exécution persistante sur le système désormais compromis.

JFrog soupçonne que cela pourrait faire partie d’une opération malveillante plus vaste, qui pourrait impliquer des programmes publicitaires ou de monétisation ciblant les appareils infectés après l’installation de logiciels tiers.

Programme d’installation malveillant » Téléchargeur »

​La campagne « eBook Phishing » a créé près d’un million de référentiels proposant des téléchargements gratuits d’ebooks et contenant des descriptions générées aléatoirement et des URL de téléchargement. Après avoir promis une version gratuite complète d’un eBook, le site Web redirige les cibles vers une page de destination de phishing leur demandant d’entrer leurs informations de carte de crédit.

Contrairement aux deux campagnes précédentes, l’objectif de la campagne « Référencement de site Web » n’est pas clair. Bien que le contenu soit généralement inoffensif, tous les référentiels portent le même nom: « site Web. »

« Il est possible que la campagne ait été utilisée comme une sorte de test de résistance avant de lancer les campagnes vraiment malveillantes », a déclaré JFrog.

En plus des grandes campagnes, des référentiels plus petits avec moins de paquets 1000 ont été créés dans d’autres campagnes, principalement axés sur la diffusion de spam et de contenu SEO.

JFrog a alerté l’équipe de sécurité de Docker de ses conclusions, qui comprenaient 3,2 millions de référentiels soupçonnés d’héberger du contenu malveillant ou indésirable. Docker a depuis supprimé tous les référentiels de Docker Hub.

« Contrairement aux attaques typiques ciblant directement les développeurs et les organisations, les attaquants dans ce cas ont tenté de tirer parti de la crédibilité de la plate-forme Docker Hub, ce qui a rendu plus difficile l’identification des tentatives d’installation de phishing et de logiciels malveillants », a ajouté JFrog.

« Près de trois millions de référentiels malveillants, dont certains sont actifs depuis plus de trois ans, soulignent l’utilisation abusive continue de la plate-forme Docker Hub par les attaquants et la nécessité d’une modération constante sur ces plates-formes. »

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *