注意！Docker Hub發(fā)現(xiàn)1600個惡意鏡像！

來源：K8S中文社區(qū)

近日Sysdig分析了Docker Hub上超過25萬個Linux鏡像，發(fā)現(xiàn)1652個有隱藏的惡意程序。

Docker Hub是由Docker官方所代管的云公共倉庫，讓全球的使用者可自由地構建、存放、下載及部署Docker容器鏡像，為全球最大的容器鏡像倉庫，為了維護使用者的安全，該倉庫不僅提供由Docker Library項目所審查與發(fā)表的官方鏡像，也推出驗證計劃來支持獨立軟件供應商（ISV）。

而Sysdig所分析的容器鏡像排除了官方與通過驗證的文件，鎖定全球使用者所上傳的公開鏡像文件，在超過25萬個Linux鏡像文件中，有1652個含有惡意內容，涵蓋608個挖礦程序，281個嵌入式密匙，266個代理規(guī)避（Proxy Avoidance），有134個新注冊的網(wǎng)站，129個惡意網(wǎng)站，以及其它等。

Sysdig發(fā)現(xiàn)，挖礦程序如預期地成為最常見的惡意鏡像，排名第二的嵌入式密匙則彰顯了密碼管理的重要性，開發(fā)者也許是無意或有意將密匙存放于鏡像文件中，它們可能是SSH、AWS憑證、GitHubToken或NPM Token等，建議大家應先利用敏感數(shù)據(jù)掃描工具來避免憑證的外泄。

SSH公鑰也被Sysdig掃描工具歸類為嵌入式密匙，因為當它們被放進容器鏡像時，很可能是為了非法使用而部署，例如當上傳公鑰至遠端服務器，以允許握有私鑰的使用者可通過SSH開啟Shell與執(zhí)行命令，等同于植入了后門。

不管是在哪個領域，總會出現(xiàn)企圖假冒為熱門品牌，采用類似名稱來混淆使用者的手法，Sysdig在Docker Hub中也發(fā)現(xiàn)了幾個例子，而它們實際上是挖礦程序。

推薦閱讀

• 這樣優(yōu)化，0.059s 啟動一個Spring Boot項目
  
• Chrome 2022 年度最受歡迎插件，必有一款適合你！
  
• Twitter快沒家了？拖欠租金、變賣家產...
  

你好，我是程序猿DD，10年開發(fā)老司機、阿里云MVP、騰訊云TVP、出過書創(chuàng)過業(yè)、國企4年互聯(lián)網(wǎng)6年。從普通開發(fā)到架構師、再到合伙人。一路過來，給我最深的感受就是一定要不斷學習并關注前沿。只要你能堅持下來，多思考、少抱怨、勤動手，就很容易實現(xiàn)彎道超車！所以，不要問我現(xiàn)在干什么是否來得及。如果你看好一個事情，一定是堅持了才能看到希望，而不是看到希望才去堅持。相信我，只要堅持下來，你一定比現(xiàn)在更好！如果你還沒什么方向，可以先關注我，這里會經常分享一些前沿資訊，幫你積累彎道超車的資本。