Şaşırtıcı bir şekilde, Docker Hub depolarının yaklaşık %20’sinin kötü amaçlı yazılım ve kimlik avı dolandırıcılıkları için kanallar olduğu belirlendi; bu da siber suçluların platformun güvenilirliğini istismar etmek için kullandığı karmaşık taktiklerin altını çiziyor.
Soruşturma, saldırganların üç yılı aşkın süredir radar altında çalıştığını ve Docker Hub’da neredeyse üç milyon kötü amaçlı yazılım deposu oluşturduğunu ortaya çıkardı.
Geliştiricileri ve kuruluşları hedef alan doğrudan saldırıların aksine, bu kötü niyetli varlıklar Docker Hub’ın güvenilir platformundan yararlanarak kimlik avı ve kötü amaçlı yazılım dağıtım planlarının tespit edilmesini zorlaştırdı.
Failhostingpolp alan adları[.]ru ve gts794[.]com’un bu zararlı depoların yayılmasına karıştığı ortaya çıktı.
JFrog’un güvenlik araştırma ekibi, Docker ile işbirliği içinde, potansiyel tehditleri proaktif bir şekilde belirlemek ve azaltmak için açık kaynaklı yazılım kayıtlarını özenle izledi.
Bu işbirlikçi çaba, yazılım ekosistemini siber tehditlere karşı güçlendirmeye yönelik daha geniş bir girişimin parçasıdır.
Etkili Kötü Amaçlı Yazılım Analizi için ANY.RUN’u Şirketinize Entegre Edin
SOC, Tehdit Araştırması veya DFIR departmanlarından mısınız? Öyleyse, 400.000 bağımsız güvenlik araştırmacısından oluşan çevrimiçi topluluğa katılabilirsiniz:
- Gerçek Zamanlı Tespit
- İnteraktif Kötü Amaçlı Yazılım Analizi
- Yeni Güvenlik Ekibi Üyelerinin Öğrenmesi Kolay
- Maksimum veriyle ayrıntılı raporlar alın
- Linux’ta ve tüm Windows İşletim Sistemi Sürümlerinde Sanal Makineyi Kurma
- Kötü Amaçlı Yazılımlarla Güvenli Bir Şekilde Etkileşim Kurun
Tüm bu özellikleri şimdi sanal alana tamamen ücretsiz erişimle test etmek istiyorsanız:
ANY.RUN’u ÜCRETSİZ deneyin
Daha önce JFrog, NPM, PyPI ve NuGet gibi diğer büyük kamu depolarında bulunan kötü amaçlı yazılım paketlerini aydınlatmıştı.
Kötü Amaçlı Yazılım Kampanyalarını Açıklıyoruz
Son bulgular, Docker Hub’ı hedef alan üç büyük kötü amaçlı yazılım kampanyasını vurgulamaktadır; bunların tümü “imajsız” depoları.
Konteyner görüntülerinden yoksun olan bu depolar, platformun işlevselliklerinden yararlanmaya yönelik kötü amaçlı meta veriler içerir.
“İndirici”, “e-Kitap Kimlik Avı” ve “Web Sitesi SEO’su” olarak tanımlanan kampanyalar, kötü amaçlı içeriği dağıtmak için çeşitli taktikler kullandı.
Bazı kampanyalar hızlı bir şekilde gruplar halinde sahte depolar oluştururken, diğerleri uzun bir süre boyunca her gün birkaç depo oluşturarak kademeli bir yaklaşımı tercih etti.
Hızlı Tepki ve Devamlı Teyakkuz
JFrog araştırma ekibi, keşif üzerine bulgularını derhal Docker güvenlik ekibine bildirdi; ekip, tüm kötü amaçlı ve istenmeyen depoları Docker Hub’dan kaldırmak için hızlı bir şekilde harekete geçti.
JFrog, Docker ekosisteminin sürekli güvenliğinin sağlanmasında işbirliğinin önemini vurgulayarak bu hızlı ve profesyonel yanıtı övdü.
Docker Hub’da milyonlarca kötü amaçlı veri deposunun açığa çıkması, dijital platformlarda gizlenen kalıcı tehditlerin açık bir hatırlatıcısıdır.
Siber suçlular taktiklerini geliştirirken, güvenlik ekiplerinin ve platform sağlayıcılarının ortak çabaları, yazılım ekosisteminin bütünlüğünü korumada hayati önem taşıyor.
Bu olay, her zaman mevcut olan kötü amaçlı yazılım ve kimlik avı dolandırıcılığı riskleriyle mücadele etmek için sürekli dikkatli olunması ve proaktif önlemler alınması gereğinin altını çiziyor.
“Docker Hub bakımcıları şu anda yüklenen depoların çoğunu yönetiyor ve bulduğumuz depolar bizim açıklamamızın ardından kaldırılmış olsa da, bu saldırılar kötü niyetli yüklemelerin %100’ünün engellenmesinin son derece zor olduğunu gösteriyor.” araştırmacılar söyledi.
On-Demand Webinar to Secure the Top 3 SME Attack Vectors: Watch for Free