2018/06/19

[資安新聞] Docker移除17個暗藏挖礦程式的惡意容器

點閱人次:113

公佈單位:TANet VoIP維運團隊

德國資安業者Kromtech Security Center指出,在這一年來,有不少開發人員於GitHub、Twitter或部落格上抱怨此事,駭客利用可公開存取的容器調度系統建立自動化的挖礦工具,這17個惡意容器全都來自於docker123321帳號,下載次數超過500萬,其中一個替駭客挖掘了544個門羅幣(Monero),約價值9萬美元。

Docker Hub為Docker所提供的官方倉庫,可供開發者上傳及下載各種Docker容器映像檔,但Docker並未審查開發者所上傳的映像檔,也讓駭客有機可趁。docker123321帳號是在去年5月所建立,在這一年來陸續發布了4波的惡意映像檔,儘管陸續被揭露,但Docker一直到今年5月才移除了docker123321倉庫。

Docker安全長David Lawrence向Threatpost透露,不管GitHub或Docker Hub都是為了服務社群所建立的公開倉庫,他們建議開發者在處理公開倉庫或開源碼時,應該遵循最佳作法,包括了解作者、在執行前掃描映像檔,或是儘可能地採用官方映像檔。

雖然這17個惡意映像檔多數嵌入了挖礦程式,但有些則是被植入後門程式,意味著就算受害者於系統上移除了這些映像檔,駭客仍有機會取得系統的常駐能力。

Docker用戶不妨檢查自己的系統是否執行了相關的惡意映像檔,以採取相對應的行動,它們分別是docker123321/tomcat、docker123321/tomcat11  、docker123321/tomcat22、docker123321/kk、docker123321/mysql、docker123321/data、docker123321/mysql0、docker123321/cron、docker123321/cronm、docker123321/cronnn、docker123321/t1、docker123321/t2、docker123321/mysql2、docker123321/mysql3、docker123321/mysql4、docker123321/mysql5及docker123321/mysql6。

以上新聞轉自ithome電腦報