Tres millones de repositorios de Docker Hub utilizados para difundir malware

Tres millones de repositorios de Docker Hub se han visto afectados por una serie de campañas de malware a gran escala en las que se han implantado millones de archivos maliciosos desde 2021, según una nueva investigación de Jfrog.

Según los investigadores, alrededor del 20% de los repositorios públicos de Docker Hub albergaban contenido malicioso. Esto variaba desde mensajes de spam rudimentarios que promocionaban contenido pirateado hasta malware y phishing más sofisticados, todos los cuales se cargaban utilizando cuentas generadas automáticamente.

Estas campañas fueron posibles gracias a una función de documentación introducida por Docker para ayudar a los usuarios a encontrar el contenedor adecuado para sus necesidades. Docker Hub introdujo una serie de características comunitarias para mejorar su usabilidad y permitirle funcionar como una plataforma comunitaria para repositorios públicos.

Para ayudar a los usuarios a buscar imágenes, Docker Hub permitió a los mantenedores de repositorios agregar descripciones breves y documentación a sus repositorios en formato HTML, que luego se muestra en la página principal del repositorio. La idea era proporcionar una breve explicación del propósito de la imagen, pero los atacantes encontraron una manera de explotar esta funcionalidad para cargar contenido malicioso en el repositorio.

JFrog descubrió que alrededor de 4,6 millones de repositorios alojados en Docker Hub no tenían imágenes, lo que significa que no tenían contenido excepto la documentación del repositorio; esto representa el 30% de todos los repositorios públicos alojados en la plataforma. Sin una imagen de contenedor, estos repositorios no se pueden utilizar, lo que indica que había un motivo oculto detrás de estos repositorios sin imágenes.

Una investigación más profunda reveló que la mayoría de estos repositorios sin imágenes (aproximadamente 2,81 millones) se cargaron con contenido malicioso, y JFrog dijo que pudo vincular todos estos repositorios con tres campañas de malware a gran escala.

JFrog extrajo todos los repositorios Docker Hub sin imágenes publicados en los últimos cinco años y pudo identificar patrones según cuándo se cargaron, la frecuencia de la carga y el contenido de la documentación del repositorio. Esto permitió a los investigadores crear firmas para tipos particulares de repositorios falsos y aplicar la firma a los repositorios sin imágenes para agruparlos por campaña.

Dos de las campañas, "Downloader" y "eBook phishing", estuvieron particularmente activas en la primera mitad de 2021, publicando miles de repositorios cada día. La campaña de phishing de libros electrónicos consta de casi un millón de repositorios creados a mediados de 2021 y todos ofrecen descargas gratuitas de libros electrónicos que contienen descripciones y enlaces de descarga generados aleatoriamente.

Estos enlaces eventualmente redirigen a la misma página donde a los usuarios se les promete una copia gratuita de un libro electrónico y se les solicita que completen un formulario que registra la información de la tarjeta de crédito del usuario y cobra a la víctima una suscripción mensual de alrededor de U$S 50.

La campaña Downloader se refiere a un conjunto de repositorios que contienen textos SEO generados automáticamente que propone descargar contenido pirateado con códigos de trucos de videojuegos.

En particular, esta campaña operó en dos rondas distintas, aunque ambas utilizaron una carga útil maliciosa idéntica: la primera ronda tuvo lugar en 2021 junto con la campaña de libros electrónicos y luego resurgió en 2023. La etapa 2021 involucró dominios maliciosos que se disfrazaban de enlaces acortados, pero en lugar de codificar la URL, codifican un nombre de archivo y resuelven un enlace a un dominio diferente cada vez que se cierra un recurso malicioso.

JFrog afirmó que el propósito de este sistema es servir como proxy para una red de entrega de contenido (CDN) malicioso y proporcionó una lista de todos los dominios maliciosos y acortadores fraudulentos utilizados en la campaña.

La segunda instancia de la campaña Downloader llegó en 2023 y esta vez se centró en evitar la detección. Los repositorios sin imágenes ya no utilizaban enlaces directos a fuentes maliciosas, sino que apuntaban a recursos legítimos como redireccionamientos a fuentes maliciosas.

La tercera campaña "Website SEO" se diferenció de las dos primeras en términos de su frecuencia de carga, ya que en su lugar cargó una pequeña cantidad de repositorios todos los días durante tres años y limitó la cantidad de repositorios por usuario a solo uno. JFrog señaló que esta campaña era desconcertante porque el contenido de los repositorios no era abiertamente malicioso.

Aunque los contenedores sin imágenes se cargaron claramente con fines malicioso, ya que los desarrolladores no podían utilizarlos, el contenido era en su mayor parte inofensivo, a menudo solo una cadena de letras descriptivas aleatorias.

En particular, a cada repositorio publicado por estos usuarios se le dio el mismo nombre de "website". Jfrog sugirió que esta campaña se utilizó como una "prueba de estrés" para medir la eficacia del vector de ataque antes de embarcarse en campañas verdaderamente maliciosas.

JFrog reveló sus hallazgos al equipo de seguridad de Docker, incluidos los 3,2 millones de repositorios que sospechaba albergaban contenido malicioso, todos los cuales fueron eliminados posteriormente.

Los indicadores de compromiso (IoC) para la carga útil utilizada en las campañas de phishing del descargador y de libros electrónicos también están disponibles en el informe de JFrog.

Fuente: ITPro

Suscríbete a nuestro Boletín