DockerHub上发现1600个恶意镜像

本公众号分享的软件服务以及语言均源于网络，只做针对这些软件服务或者语言的使用实践进行分享和整理。本公众号不对任何人进行推荐，在使用这些软件或编程代码时有可能会引发一些问题，甚至导致数据丢失，请您自行成承担相应的后果！本公众号概不负责! 若您觉得公众号发布的内容若侵犯到您的权益，请联系及时管理员沟通！

近日Sysdig分析了Docker Hub上超过25万个Linux镜像，发现1652个有隐藏的恶意程序。

Docker Hub是由Docker官方所代管的云公共仓库，让全球的使用者可自由地构建、存放、下载及部署Docker容器镜像，为全球最大的容器镜像仓库，为了维护使用者的安全，该仓库不仅提供由Docker Library项目所审查与发表的官方镜像，也推出验证计划来支持独立软件供应商（ISV）。

而Sysdig所分析的容器镜像排除了官方与通过验证的文件，锁定全球使用者所上传的公开镜像文件，在超过25万个Linux镜像文件中，有1652个含有恶意内容，涵盖608个挖矿程序，281个嵌入式密匙，266个代理规避（Proxy Avoidance），有134个新注册的网站，129个恶意网站，以及其它等。

Sysdig发现，挖矿程序如预期地成为最常见的恶意镜像，排名第二的嵌入式密匙则彰显了密码管理的重要性，开发者也许是无意或有意将密匙存放于镜像文件中，它们可能是SSH、AWS凭证、GitHubToken或NPM Token等，建议大家应先利用敏感数据扫描工具来避免凭证的外泄。

SSH公钥也被Sysdig扫描工具归类为嵌入式密匙，因为当它们被放进容器镜像时，很可能是为了非法使用而部署，例如当上传公钥至远端服务器，以允许握有私钥的使用者可通过SSH开启Shell与执行命令，等同于植入了后门。

不管是在哪个领域，总会出现企图假冒为热门品牌，采用类似名称来混淆使用者的手法，Sysdig在Docker Hub中也发现了几个例子，而它们实际上是挖矿程序。