Có ba chiến dịch quy mô lớn đã nhắm vào người dùng Docker Hub và cài cắm hàng triệu kho phần mềm (repo) chứa mã độc và trang web lừa đảo kể từ đầu năm 2021.
Các nhà nghiên cứu bảo mật của JFrog cho biết có khoảng 20% trong số 15 triệu kho của Docker Hub chứa nội dung độc hại, từ thư rác đến mã độc và các trang web lừa đảo.
Các nhà nghiên cứu đã phát hiện ra gần 4,6 triệu kho không chứa Docker image nào, làm cho chúng không thể chạy bằng cụm Kubernetes hoặc Docker engine. Họ cho rằng khoảng 2,81 triệu kho có liên quan đến ba chiến dịch tấn công lớn.
Mỗi chiến dịch trong số này sử dụng các chiến thuật khác nhau để tạo và phát tán các kho Docker độc hại.
Chiến dịch "Downloader" và "eBook Phishing" tạo ra các kho giả mạo một cách hàng loạt. Trong khi đó chiến dịch "Website SEO" chỉ tạo ra một vài kho mỗi ngày và sử dụng một người dùng duy nhất cho mỗi kho.
| Chiến dịch | Số kho (%) | Số người dùng |
|---|---|---|
| Website SEO | 215451 (1,4%) | 194699 |
| Downloader | 1453228 (9,7%) | 9309 |
| eBook Phishing | 1069160 (7,1%) | 1042 |
| Các kho trống khả nghi khác | 76025 (0,5%) | 3689 |
| Tổng | 2,81 triệu (18,7%) | 208739 |
Chiến dịch "Downloader" dùng các nội dung được tạo tự động với SEO để quảng cáo nội dung vi phạm bản quyền hoặc gian lận trong các trò chơi cùng với các liên kết đến phần mềm độc hại.
Theo JFrog, "Chiến dịch này hoạt động theo hai đợt riêng biệt (khoảng năm 2021 và 2023). Cả hai đều sử dụng cùng một loại mã độc mà hầu hết các công cụ diệt virus đều đánh giá chung chung là Trojan."
Khi chạy, mã độc này sẽ hiển thị một hộp thoại cài đặt yêu cầu người dùng tải xuống và cài đặt phần mềm đã được quảng cáo. Tuy nhiên, thay vào đó, nó sẽ tải xuống các mã độc và lên lịch chạy chúng một cách liên tục trên hệ thống vừa bị xâm nhiễm.
JFrog nghi ngờ rằng đây có thể là một phần của chiến dịch nào đó lớn hơn. Nó có thể liên quan đến các chương trình quảng cáo hoặc kiếm tiền khác nhắm vào các thiết bị bị nhiễm sau khi cài đặt phần mềm từ bên thứ ba.
Chiến dịch "eBook Phishing" đã tạo ra gần một triệu kho để chứa sách điện tử miễn phí. Chúng đi kèm với các mô tả và URL tải xuống được tạo ngẫu nhiên.
Sau khi hứa hẹn cung cấp bản đầy đủ miễn phí của một cuốn sách điện tử, trang web sẽ đổi hướng đến một trang lừa đảo đích và yêu cầu nạn nhân nhập thông tin thẻ tín dụng.
Không giống như hai chiến dịch trước, mục tiêu của chiến dịch "Website SEO" vẫn chưa xác định được. Mặc dù nội dung chủ yếu là vô hại, nhưng tất cả các kho đều có cùng tên: "website."
JFrog cho biết: “Có thể chiến dịch này đã được sử dụng để kiểm tra sức chịu đựng trước khi bắt tay vào các chiến dịch tấn công thực sự.”
Ngoài các chiến dịch lớn, các kho nhỏ hơn với chưa đến 1000 gói đã được tạo ra trong các chiến dịch khác, chủ yếu tập trung vào nội dung rác và SEO.
JFrog đã thông báo đến nhóm bảo mật Docker về những phát hiện của họ, bao gồm 3,2 triệu kho mà họ nghi ngờ chứa nội dung độc hại hoặc rác. Docker sau đó đã xóa tất cả các kho này khỏi Docker Hub.
JFrog cho biết thêm: "Không giống như các cuộc tấn công thông thường nhắm trực tiếp vào các nhà phát triển và tổ chức, những kẻ tấn công trong trường hợp này đã cố gắng lợi dụng uy tín của nền tảng Docker Hub, khiến việc xác định các âm mưu lừa đảo và cài đặt mã độc trở nên khó khăn hơn."
"Có gần ba triệu kho độc hại, nhiều trong số đó đã hoạt động hơn ba năm. Điều này cho thấy những kẻ tấn công liên tục lạm dụng nền tảng Docker Hub và việc kiểm duyệt thường xuyên trên các nền tảng như vậy là vô cùng cần thiết."
Theo BleepingComputer.
