容器镜像文件受到许多开发人员欢迎,却也暗藏危机。安全厂商发现,Docker Hub上有30个镜像文件,下载总数超过2000万次,竟然内置挖矿程序。
容器镜像文件是开发云计算应用的重要应用,Docker Hub则是默认的容器存储库。通过容器镜像文件渠道,攻击者即可将恶意程序植入到云计算上。
安全公司Palo Alto Networks研究人员Aviv Sasson,在Docker Hub上发现的30个恶意容器镜像文件,分别来自10个不同账号,总下载次数超过2000万。其中内置的挖矿软件九成以上是XMRig,其余为Xmr-stak。
图片来源/Palo Alto Networks
以目标货币来看,九成为挖Monero(门罗币),少部分是Grin(6.5%)及Arionum(3.2%)币。
图片来源/Palo Alto Networks
通过查看采矿池,研究人员估计这些挖矿软件,已经产生价值超过20万美元的加密货币。
Sasson查看这些镜像文件标签,发现有些镜像文件针对不同CPU架构或操作系统,使用不同的标签,显示攻击者也企图对不同受害者OS及CPU架构环境提供“定制化”的镜像文件。还有些镜像文件包含不同挖矿软件的标签,意味攻击者可根据用户硬件,使用最适合的挖矿软件。
通过分析挖矿软件的货币钱包地址或矿池,研究人员也识别出10个Docker Hub账号中有4个来自同一波攻击活动。Sasson去年的研究发现,一个使用azurenql账号的攻击者,他所植入Monero挖矿软件的Docker镜像文件,被下载次数超过1000万次。
研究人员指出,这次研究仅利用电子钱包地址关联分析,就找出那么活跃的恶意镜像文件,他怀疑实际情况可能更为严重,因为有些执行实例中的恶意程序侦测更为不易。