Docker Hub-repositories worden sinds 2021 massaal gebruikt voor het verspreiden van malware en phishing-websites.

Docker Hub, de dienst van Docker waarmee ontwikkelaars container images kunnen vinden en delen, wordt door cybercriminelen misbruikt. Dat constateert onderzoek van JFrog. Ongeveer 20 procent van de in totaal 15 miljoen Docker Hub-repositories wordt hiervoor misbruikt. De aangetroffen malware varieerde van spam tot phishing-websites.

De onderzoekers kwamen ongeveer 4,6 miljoen Docker-repositories op het spoor die helemaal geen Docker-containerafbeeldingen bevatten. Deze repositories konden niet worden gebruikt met een Kubernetes-cluster of een Docker-engine.

Daarnaast ontdekten de onderzoekers van JFrog dat er drie grote campagnes actief zijn die 2,81 miljoen van de aangetroffen verdachte Docker Hub-repositories gebruiken voor kwaadaardige doeleinden.

Verschillende kwaadaardige methodes

Iedere van deze kwaadaardige campagnes gebruikte verschillende methoden voor het aanmaken en distribueren van de malafide repositories. De zogenoemde ‘Downloader’- en de ‘eBook-phishing’-campagnes gebruikten valse repositories in batches. De ‘Website SEO’-campagne maakte voor zijn kwaadaardige activiteiten dagelijks een aantal repositories aan en had een enkele gebruiker per repository.

Doelen campagnes

Als kwaadaardige activiteit zorgde de Downloader-campagne voor het automatisch genereren van teksten met SEO voor het aanbevelen van gepirateerde content en cheats voor games en software-links. Deze campagne deed zich zowel in 2021 als in 2023 voor.

De onderzoekers van JFrog denken dat deze specifieke campagne onderdeel is van een grotere malwarecampagne voor het installeren van adware en third-party software.

De eBook Phishing-campagne richtte zich op het aanmaken van ongeveer een miljoen repositories voor het aanbieden van gratis ebook-downloads, met beschrijvingen en download-URL’s. Hoewel een gratis ebook werd beloofd, zouden gebruikers toch creditcardinformatie moeten invullen.

Het doel van de Website SEO-campagne is volgens de onderzoekers onduidelijk. De meeste in de repositories verspreide content is onschadelijk en hebben allemaal de naam ‘website’. JFrog denkt dat deze campagne een mogelijke stresstest was voordat daadwerkelijk kwaadaardige campagnes werden gelanceerd.

Docker heeft inmiddels alle aangetroffen kwaadaardige repositories uit Docker Hub verwijderd.