3つの大規模なキャンペーンがDocker Hubユーザーを標的とし、2021年初頭からマルウェアやフィッシングサイトをプッシュする何百万ものリポジトリを植え付けました。
JFrogのセキュリティ研究者が発見したところによると、Docker Hubがホストする1500万件のリポジトリのうち約20%に、スパムから危険なマルウェアやフィッシングサイトまで、悪意のあるコンテンツが含まれていました。
研究者は、KubernetesクラスタやDockerエンジンを使用して実行できないDockerイメージを含まないリポジトリを約460万件発見し、約281万件を3つの大規模な悪意のあるキャンペーンに関連付けました。
これらのキャンペーンは、それぞれ異なる手口で悪意のあるリポジトリを作成し、配布していました。Downloader」と「eBook Phishing」キャンペーンは偽のリポジトリを一括して作成し、「Website SEO」キャンペーンは毎日数個のリポジトリを作成し、リポジトリごとに1人のユーザーを使用していました。
キャンペーン | # リポジトリ数 (全リポジトリの割合) | # ユーザー数 |
ウェブサイトSEO | 215451 (1.4%) | 194699 |
ダウンローダー | 1453228 (9.7%) | 9309 |
電子書籍フィッシング | 1069160 (7.1%) | 1042 |
その他の不審なイメージレス | 76025 (0.5%) | 3689 |
合計 | 2.81M (18.7%) | 208739 |
この “Downloader “キャンペーンには、海賊版コンテンツやビデオゲームのチートを宣伝するSEOテキストと、ソフトウェアへのリンクを含む自動生成テキストが含まれていた。
「このキャンペーンは、2つのラウンド(2021年頃と2023年頃)に分かれて実行され、どちらのラウンドでもまったく同じ悪意のあるペイロードが使用されていました。
実行されると、マルウェアのペイロードはインストールダイアログを表示し、ユーザーに広告のソフトウェアをダウンロードしてインストールするよう求めます。しかし、このマルウェアは、代わりに広告の悪質なバイナリをすべてダウンロードし、危険にさらされたシステム上で持続的に実行するようスケジュールします。
JFrogは、これはより大規模なマルウェア活動の一部であり、サードパーティ製ソフトウェアをインストールした後に感染したデバイスをターゲットとするアドウェアや収益化スキームが関与している可能性があると疑っています。
eBookフィッシング」キャンペーンは、無料のeBookダウンロードを提供し、ランダムに生成された説明文とダウンロードURLを含む約100万のリポジトリを作成しました。eBookの完全無料版を約束した後、ウェブサイトはターゲットにクレジットカード情報の入力を求めるフィッシング・ランディング・ページにリダイレクトします。
前の2つのキャンペーンとは異なり、「ウェブサイトSEO」キャンペーンの狙いは不明確だ。コンテンツはほとんど無害だが、すべてのリポジトリに同じ名前 “ウェブサイト “がついている。
「真に悪質なキャンペーンを実施する前に、ある種のストレステストとしてこのキャンペーンが使われた可能性がある」とJFrogは述べている。
大規模なキャンペーンに加え、1000パッケージ未満の小規模なリポジトリも他のキャンペーンで作成されており、主にスパムとSEOコンテンツのプッシュに重点を置いていました。
JFrogはDockerのセキュリティチームに、悪意のあるコンテンツや不要なコンテンツをホストしている疑いのあるリポジトリが320万件含まれていることを警告しました。Dockerはその後、Docker Hubからすべてのリポジトリを削除した。
「開発者や組織を直接標的にした典型的な攻撃とは異なり、今回の攻撃者はDocker Hubのプラットフォームの信頼性を利用しようとしたため、フィッシングやマルウェアのインストールを特定することが難しくなりました。
“約300万もの悪意のあるリポジトリ、そのうちのいくつかは3年以上アクティブなものであり、攻撃者がDocker Hubプラットフォームを悪用し続けていること、そしてそのようなプラットフォームにおける絶え間ない節制の必要性を浮き彫りにしています。”
Comments