Imágenes con backdoor descargadas 5 millones de veces finalmente son removidas de Docker Hub

Share this…

duckerhub

17 imágenes publicadas por una sola cuenta por más de 10 meses podrían haber generado 90,000 dólares.

Una persona o grupo de personas pudo haber ganado cerca de 90,000 dólares durante 10 meses mediante la difusión de 17 imágenes con contenido malicioso que se descargaron más de 5 millones de veces desde Docker Hub, acorde a reportes de especialistas. El repositorio finalmente eliminó estos envíos en mayo, más de ocho meses después de recibir la primera queja.

Las imágenes de Docker son paquetes que generalmente incluyen una aplicación preconfigurada que se ejecuta en primer plano de un sistema operativo. En julio y agosto pasado, una o más personas, utilizando la cuenta de Docker Hubdocker123321, cargaron tres imágenes disponibles al público que contenían código para minar criptomonedas. En septiembre, un usuario de GitHub se quejó de que una de las imágenes contenía un backdoor.

Sin hacer nada por ocho meses

Ni la cuenta de Docker Hub ni las imágenes maliciosas que ésta envió se eliminaron. En los siguientes meses, la cuenta envió 14 imágenes maliciosas más. Los envíos fueron evidenciados públicamente dos veces más, una en enero por la firma de seguridad Sysdig y otra en mayo por la compañía de seguridad Fortinet. Ocho días después del informe del mes pasado, Docker Hub finalmente eliminó las imágenes.

Para el momento en el que Docker Hub removió las imágenes, éstas ya habían presentado más de 5 millones de interacciones en la plataforma, lo que significó para estas personas casi 545 unidades de Monero minadas con valor de hasta 90 mil dólares.

Esta campaña de imágenes con contenido malicioso, revisada a detalle por la empresa de seguridad informática Kromtech en su blog, significa una señal de alerta para los desarrolladores.

Especialistas advierten que, a pesar de que las imágenes han sido removidas de Docker Hub, muchos servidores que las hayan instalado podrían seguir infectados. Expertos del Instituto Internacional de Seguridad Cibernética comentan que un malware de este tipo es capaz de seguir funcionando aun después de que los administradores borren la imagen con backdoor. El consejo para cualquiera que haya descargado contenido de la cuenta docker123321 es analizar sus equipos y buscar rastros de una posible infección.