Docker Hub ユーザーを標的にした3つのキャンペーン:2021年から展開されていたことが判明

Millions of Docker repos found pushing malware, phishing sites

2024/04/30 BleepingComputer — Docker Hub ユーザーを標的として、2021年初めから展開されている3つの大規模なキャンペーンにより 、マルウェアやフィッシング・サイトをプッシュする、数百万のリポジトリが設置されていたことが判明した。Docker Hub がホストする 1,500 万件のリポジトリのうちの約 20%に、スパムからマルウェアやフィッシング・サイトなどにいたる、悪意のコンテンツが含まれていたことが、JFrog のセキュリティ研究者たちにより発見された。

研究者たちは、Kubernetes クラスタや Docker エンジンを使って、実行できないDocker イメージを取り込んだ、約 460 万件のリポジトリを発見した。彼らは、そのうちの約 281 万件を、3つの大規模かつ悪意のキャンペーンに関連付けている。


これらのキャンペーンは、それぞれ異なる手口で、悪意のリポジトリを作成して配布していた。たとえば、Downloader/eBook Phishing キャンペーンでは、偽のリポジトリを一括して作成していたが、Website SEO キャンペーンでは、毎日複数のリポジトリを作成して、リポジトリごとに1人のユーザーを使用していた。

Downloader キャンペーンは、海賊版コンテンツやビデオ・ゲームのチートを宣伝する SEO テキストと、ソフトウェアへのリンクを自動的に生成するテキストが含まれていた。

JFrog は、「このキャンペーンは、2021年頃と2023年頃の2回にわたって実施され、どちらのラウンドでも全く同じ悪意のペイロードが、つまり、大半のアンチウイルス・エンジンが一般的なトロイの木馬として検出する、悪意の実行ファイルが使用されていた」と述べている。

それらが実行されると、マルウェアのペイロードによりインストール・ダイアログが表示され、広告されているソフトウェアをダウンロード/インストールするよう求められる。しかし、このマルウェアによりダウンロードされるのは、ソフトウェアではなく悪質なバイナリであり、危険にさらされたシステム上で持続的に実行するようスケジュールするものだ。

JFrog の推測は、大規模なマルウェア活動の一部を発見したというものだ。具体的には、サードパーティ製ソフトウェアをインストールした後に、感染させたデバイスをターゲットとする、アドウェアや収益化スキームが関与している可能性があると見ている。

"Downloader" malicious installer
Downloader の悪質なインストーラ (JFrog)

その一方で、eBook Phishing キャンペーンは、無料の eBook ダウンロードを提供し、ランダムに生成された説明文とダウンロード URL を含む、約 100万のリポジトリを作成していた。完全無料版の eBook の提供を謳う Web サイトは、ターゲットをフィッシング LP へとリダイレクトし、クレジットカード情報の入力を求めていた。

そして、Website SEO キャンペーンは、前述の2つのキャンペーンとは異なり、その狙いと目的が不明確である。ほとんどのコンテンツは無害だが、全てのリポジトリは “website” という、同じ名前だった。

JFrog は、「このキャンペーンは、真に悪質なキャンペーンを実施する前に、ある種のストレス・テストとして使われた可能性がある」と述べている。

この大規模キャンペーンに加えて、他のキャンペーンにおいては、1,000 パッケージ未満の小規模なリポジトリが作成され、主にスパムと SEO コンテンツのプッシュに重点が置かれていたという。

JFrog は、Docker のセキュリティ・チームに対して、悪意/不要なコンテンツをホストしている疑いのあるリポジトリが、320万件ほど含まれていると警告した。この報告を受けた Docker は、それら全てのリポジトリを Docker Hub から削除した。

さらに同社は、「今回のキャンペーンを操る攻撃者たちは、開発者や組織をダイレクトに狙う典型的な攻撃とは異なり、Docker Hub のプラットフォームの信頼性を利用しているため、フィッシングやマルウェアのインストールを特定することが難しくなっている。約 300万の悪意のリポジトリのうちのいくつかは、3年以上にわたりアクティブであることから、背後にいる攻撃者は、Docker Hubプラットフォームを悪用し続けていると推測される。したがって、この種のプラットフォームにおいては、絶え間のない制約が必要となる」と述べている。

Docker Hub がホストする 1,500 万件のリポジトリのうちの約 20%に、悪意のコンテンツが含まれていたとのことですが、その数は 300万件となります。脆弱性悪用/認証回避/フィッシングなどにより侵害した、標的となるサイトに対して、それらのリポジトリからペイロードが配信されていたのでしょう。300万件のうちの全てが、アクティブな状態ではないと思いますが、それにして膨大な量です。それらが、Docker により削除されて良かったですが、他にも隠し場所がたくさんあるはずです。ここでも、終わりのない追いかけっこが続きます。よろしければ、Docker で検索も、ご利用ください。