Scopriamo come Docker Hub, la nota piattaforma di hosting di repository software, possa essere un terreno fertile per malware e phishing.
In tempi recenti, Docker Hub, l’acclamata piattaforma per l’hosting di repository software, è stata messa sotto tiro a causa di ben tre incursioni malevolente. I ricercatori JFrog hanno rivelato che quasi il 20% dei 15 milioni di repository utilizzati per l’hosting contiene elementi nocivi, che variano dallo spam ai malware altamente pericolosi, passando per i collegamenti a siti di phishing.
I dettagli della scoperta sono allarmanti: tra i circa 4,6 milioni di repository che non ospitavano immagini Docker e quindi non erano adattabili ad un uso con cluster Kubernetes o con Docker Engine, 2,81 milioni erano correlati alle tre principali campagne di malware suddette.
La campagna denominata “Downloader” sfruttava la generazione automatica di testi per la promozione di contenuti pirata o trucchi di videogiochi, veicolando software dannoso attraverso i collegamenti. “Questa campagna è stata effettivamente operativa in due momenti separati: nel 2021 e nel 2023, riscontrando entrambe le volte lo stesso modus operandi e lasciando una traccia nell’agenda degli strumenti di programmazione di Windows“, ha commentato JFrog.
La seconda campagna, denominata “eBook Phishing“, ha coinvolto quasi un milione di repository ed offriva download gratuiti di ebook con descrizioni e indirizzi URL generati casualmente. Sfortunatamente, al posto del libro promesso, l’utente veniva indirizzato verso una pagina di phishing che richiedeva i dati della carta di credito.
La terza campagna, chiamata “Website SEO“, sebbene apparentemente meno minacciosa, generava un gran numero di repository quotidianamente, tutti con il medesimo nome: “web site”. “Potrebbe essere che questa campagna sia stata utilizzata come tentativo preliminare prima di lanciare attacchi realmente dannosi”, ha ipotizzato JFrog.
In aggiunta alle campagne di ampia portata, sono state individuate campagne più circoscritte, inclusi repository che contenevano non più di 1000 pacchetti, il cui scopo principale sembrava essere la distribuzione di spam e contenuti SEO.
JFrog ha tempestivamente informato il team di sicurezza di Docker dei risultati ottenuti, tra cui 3,2 milioni di repository sospettati di ospitare contenuti dannosi o indesiderati. Docker, a sua volta, ha già preso provvedimenti rimuovendo tutti i repository sospetti da Docker Hub.
“A differenza degli attacchi più comuni, mirati direttemente a sviluppatori e organizzazioni, in questo caso gli hacker hanno cercato costantemente di aumentare la loro reputazione sulla piattaforma Docker Hub, rendendo più ardua la rilevazione dei tentativi di phishing e delle installazioni di malware”, ha precisato JFrog, sottolineando l’importanza di una continua moderazione di queste piattaforme.