Cyberthreat.id – Peneliti keamanan di Sysdig mengungkapkan ada 1.650 repositori Docker Hub yang tersedia untuk umum menyembunyikan perilaku berbahaya, termasuk penambang cryptocurrency, Backdoor rahasia, pembajak DNS, dan pengalih situs web.

Docker Hub adalah perpusataakan berbasis cloud yang memungkinkan orang untuk mencari dan mengunduh gambar Docker dengan bebas atau mengunggah kreasi mereka ke perpustakaan umum atau repositori pribadi.

Sementara itu Image Docker adalah template untuk pembuatan kontainer yang cepat dan mudah yang berisi kode dan aplikasi siap pakai. Biasanya, mereka yang ingin menyiapkan instans baru sering beralih ke Docker Hub untuk menemukan aplikasi yang mudah diterapkan dengan cepat.

Namun, karena penyalahgunaan layanan oleh pelaku ancaman, lebih dari seribu unggahan berbahaya menghadirkan risiko besar bagi pengguna yang tidak menaruh curiga yang menyebarkan gambar sarat malware di wadah yang dihosting secara lokal atau berbasis cloud.

Dikutip dari Bleeping Computer, banyak gambar berbahaya menggunakan nama yang menyamarkannya sebagai proyek populer dan tepercaya, sehingga pelaku ancaman mengunggahnya dengan jelas untuk mengelabui pengguna agar mengunduhnya. Para peneliti yang menyelidiki masalah ini, mencoba mengevaluasi skala masalah, dan melaporkan gambar yang ditemukan yang menampilkan beberapa bentuk kode atau mekanisme berbahaya.

Terlepas dari gambar yang ditinjau oleh Proyek Perpustakaan Docker, yang diverifikasi dapat dipercaya, ratusan ribu gambar dengan status tidak diketahui ada di layanan. Peneliti menggunakan pemindai otomatisnya untuk meneliti 250.000 gambar Linux yang belum diverifikasi dan mengidentifikasi 1.652 di antaranya sebagai berbahaya.

“Kategori terbesar adalah penambang crypto, ditemukan di 608 gambar kontainer, menargetkan sumber daya server untuk menambang cryptocurrency untuk pelaku ancaman,” kata peneliti.

Peneliti mengatakan, kejadian paling umum kedua adalah gambar yang menyembunyikan kode rahsaia yang disematkan, berukuran 281 cases. Kode rahasia yang disematkan dalam gambar ini adalah kunci SSH, kredensial AWS, token GitHub, token NPM, dan lainnya. Kode rahasia ini mungkin dibiarkan pada gambar publik secara tidak sengaja atau sengaja disuntikkan oleh aktor ancaman yang membuat dan mengunggahnya.

“Dengan menyematkan kunci SSH atau kunci API ke dalam wadah, penyerang dapat memperoleh akses setelah wadah digunakan,” kata peneliti.

Peneliti menyebutkan, banyak gambar berbahaya yang ditemukan oleh Sysdig menggunakan kesalahan ketik untuk menyamar sebagai gambar yang sah dan tepercaya, hanya untuk menginfeksi pengguna dengan penambang kripto.

Taktik ini meletakkan dasar untuk beberapa kasus yang sangat sukses, seperti dua contoh yang ditunjukkan di bawah ini, yang telah diunduh hampir 17.000 kali. Typosquatting juga memastikan bahwa pengguna yang salah mengetik nama proyek populer akan mengunduh gambar jahat, jadi meskipun ini tidak menghasilkan jumlah korban yang besar, ini tetap memastikan aliran infeksi yang stabil.

Peneliti menambahkan, bahwa pada tahun 2022, 61 persen dari semua gambar yang diambil dari Docker Hub berasal dari repositori publik, naik 15 persen dari statistik tahun 2021, sehingga risiko bagi pengguna meningkat. Namun, ukuran perpustakaan umum Docker Hub tidak memungkinkan operatornya memeriksa semua unggahan setiap hari; karenanya banyak gambar berbahaya tidak dilaporkan.

“Sebagian besar pelaku ancaman hanya mengunggah beberapa gambar berbahaya, jadi meskipun gambar berisiko dihapus dan pengunggahnya dilarang, hal itu tidak berdampak signifikan pada lanskap ancaman platform,” kata peneliti.