Securityonderzoekers waarschuwen ontwikkelaars voor gedeelde container images. Dit na de vondst van malafide activiteiten in 1652 publiek beschikbaar Docker Hub-images.

De onderzoekers van Sysdig slaan in hun analyse alarm. Vooral ontwikkelaars moeten opletten, aangezien zij vaak publiekelijk beschikbare containers images gebruiken. Hierdoor kunnen zij de time-to-market versnellen. Docker Hub is in dit geval een populaire gratis container registry.

Malware in images

Nu blijken cybercriminelen malware te verbergen in ogenschijnlijk legitieme images in Docker Hub. Het gaat met name op cryptomining en embedded secrets. Bij dit laatste kan je denken aan SSH keys, AWS-inloggegevens, GitHub-tokens en NPM-tokens. “Secrets kunnen in een image zitten door onbedoeld slechte codeerpraktijken of het kan opzettelijk gebeuren door een cybercrimineel”, aldus Sysdig.

Sysdig geeft aan dat hackers door een SSH- of API-key te embedden in een container, toegang kunnen krijgen als de container eenmaal gedeployd is. Om het per ongeluk lekken van inloggegevens tegen te gaan, raadt Sysdig tools voor het scannen van gevoelige data aan. Deze kunnen een seintje geven als er wat misgaat.

Andere malafide image-categorieën zijn proxy avoidance, nieuw geregistreerde domeinen, malafide websites, hacking en dynamic DNS.

Omvang

Sysdig analyseerde 250.000 Linux-images om te begrijpen wat voor malafide payloads verborgen zitten in containers images op Docker Hub. 1652 daarvan blijken dus gevaarlijk voor ontwikkelaars.

De onderzoekers waarschuwen dat cybercriminelen malware verbergen door de naam van populaire open source-software te imiteren. De toegepaste methodes richten zich in het bijzonder op cloud- en container-workloads. Daarom doen organisatie die dergelijke workloads deployen er verstandig aan zorgvuldig te handelen. Dit kan bijvoorbeeld door de images te scannen op potentiële malware.

Tip: Docker ondersteunt WebAssembly in Docker Desktop