Üç büyük ölçekli kampanya, Docker Hub kullanıcılarını hedef alarak 2021’in başlarından bu yana kötü amaçlı yazılım ve kimlik avı sitelerini yönlendiren milyonlarca depo yerleştirdi.
JFrog güvenlik araştırmacılarının tespitine göre, Docker Hub tarafından barındırılan 15 milyon veri havuzunun yaklaşık %20’si, spam’den tehlikeli kötü amaçlı yazılımlara ve kimlik avı sitelerine kadar çeşitli kötü amaçlı içerik barındırıyordu.
Araştırmacılar, Kubernetes kümesi veya Docker motoru kullanılarak çalıştırılamayan Docker görüntüleri içermeyen neredeyse 4,6 milyon depo keşfetti ve yaklaşık 2,81 milyonu üç büyük kötü amaçlı kampanyaya bağladı.
Bu kampanyaların her biri, kötü amaçlı depoları oluşturmak ve dağıtmak için farklı taktikler kullandı. “İndirici” ve “e-Kitap Kimlik Avı” kampanyaları toplu olarak sahte depolar oluştururken, “Web Sitesi SEO” kampanyası her gün birkaç depo oluşturdu ve depo başına tek bir kullanıcı kullandı.
“Downloader” kampanyası, korsan içeriği veya video oyunlarına yönelik hileleri ve yazılım bağlantılarını teşvik eden SEO metni içeren, otomatik olarak oluşturulmuş metinler içeriyordu.
JFrog, “Bu kampanya iki farklı turda (yaklaşık 2021 ve 2023) yürütüldü ve her iki turda da tam olarak aynı kötü amaçlı veri yükü kullanıldı; bu, çoğu antivirüs motorunun genel bir Truva atı olarak algıladığı kötü amaçlı bir yürütülebilir dosyadır” dedi.
Yürütüldüğünde, gönderdiği kötü amaçlı yazılım verisi, kullanıcıdan reklamı yapılan yazılımı indirip yüklemesini isteyen bir kurulum iletişim kutusu görüntüler. Ancak bunun yerine teklifteki tüm kötü amaçlı ikili dosyaları indirecek ve bunların artık güvenliği ihlal edilmiş olan sistemde kalıcı olarak yürütülmesini planlayacaktır.
JFrog, bunun, üçüncü taraf yazılım yüklendikten sonra virüs bulaşan cihazları hedef alan reklam yazılımlarını veya para kazanma planlarını içerebilecek daha büyük bir kötü amaçlı yazılım operasyonunun parçası olabileceğinden şüpheleniyor.
”E-Kitap Kimlik Avı” kampanyası, ücretsiz e-Kitap indirme olanağı sunan ve rastgele oluşturulmuş açıklamalar ile indirme URL’lerini içeren yaklaşık bir milyon depo oluşturdu. Web sitesi, bir e-Kitabın tam ücretsiz sürümünü vaat ettikten sonra, hedefleri, kredi kartı bilgilerini girmelerini isteyen bir kimlik avı açılış sayfasına yönlendiriyor.
Önceki iki kampanyadan farklı olarak “Web Sitesi SEO” kampanyasının amacı belirsizdir. İçerik çoğunlukla zararsız olsa da tüm veri havuzları aynı ada sahiptir: “web sitesi.”
JFrog, “Kampanyanın, gerçekten kötü niyetli kampanyaları yürürlüğe koymadan önce bir tür stres testi olarak kullanılmış olması mümkün” dedi.
Büyük kampanyalara ek olarak, diğer kampanyalarda 1000’den az paket içeren daha küçük depolar oluşturuldu ve öncelikli olarak spam ve SEO içeriğinin itilmesine odaklanıldı.
JFrog, Docker güvenlik ekibini, kötü amaçlı veya istenmeyen içerik barındırdığından şüphelenilen 3,2 milyon havuzun da dahil olduğu bulguları konusunda uyardı. Docker o zamandan beri tüm depoları Docker Hub’dan kaldırdı.
JFrog, “Geliştiricileri ve kuruluşları doğrudan hedef alan tipik saldırıların aksine, bu vakada saldırganlar Docker Hub’ın platform güvenilirliğinden yararlanmaya çalıştı ve bu da kimlik avı ve kötü amaçlı yazılım yükleme girişimlerinin tespit edilmesini zorlaştırdı.” diye ekledi.
“Bazıları üç yılı aşkın bir süredir aktif olan neredeyse üç milyon kötü amaçlı yazılım deposu, saldırganların Docker Hub platformunu kötüye kullanmaya devam ettiğini ve bu tür platformlarda sürekli denetim ihtiyacını vurguluyor.”