最近的报告显示,Docker Hub 平台上共有25万未验证的公开Linux镜像,其中有1652个被发现存在恶意行为。BleepingComputer 的消息称,加密矿工占据了恶意镜像的最大比例,其次是那些包含嵌入式秘密的镜像,这些秘密包括 SSH 密钥、亚马逊网络服务AWS凭证、GitHub 令牌以及 NPM 令牌,相关信息来自 Sysdig 的一份报告。
Sysdig 的研究人员指出,嵌入公用镜像的秘密可能是无意的,也可能是故意的。他们表示:“通过将 SSH 密钥或 API 密钥嵌入容器,攻击者可以在容器被部署后获得访问权限例如,将公钥上传到远程服务器使得相应私钥的持有者能够打开一个 shell,并通过 SSH 执行命令,这就像植入一个后门。”此外,还利用拼写蹭热点 (typosquatting) 的方式伪装成受信任镜像的加密矿工镜像。随着越来越多的用户使用基于公共仓库的镜像,Docker Hub 镜像所面临的安全风险预计将会加大。
恶意镜像类型例子加密矿工隐藏在普通镜像中嵌入式秘密SSH 密钥、AWS 凭证等拼写蹭热点伪装成信任的镜像注意:使用未经过验证的公共镜像存在安全风险,建议在使用时进行充分检查和验证。
虎跃加速器最新版入口
