samedi, 28 janvier 2023

Des chercheurs en sécurité découvrent plus de 1 600 images Docker Hub malveillantes

Les scientifiques de Sysdig tirent la sonnette d’alarme dans leur analyse. Les concepteurs en particulier doivent en prendre note, car ils utilisent fréquemment des images de conteneurs proposées au public. Cela leur permet d’accélérer la mise sur le marché. Docker Hub, dans ce cas, est un registre Windows de conteneurs gratuit et populaire.

Malwares dans les images

Maintenant, les cybercriminels semblent dissimuler des malwares dans des images apparemment authentiques dans Docker Center. En particulier, il s’agit de cryptominage et de secrets enracinés. Ces derniers peuvent être constitués de secrets SSH, de qualifications AWS, de jetons GitHub et de jetons NPM. « Les secrets peuvent être intégrés dans une image en raison de mauvaises pratiques de codage involontaires ou cela peut être fait délibérément par un acteur dangereux », a déclaré Sysdig.

Sysdig indique qu’en intégrant un secret SSH ou un type d’API dans un conteneur , les pirates peuvent y accéder une fois le conteneur libéré. Pour éviter les fuites inattendues de qualifications de connexion, Sysdig recommande des outils d’analyse d’informations délicates. Ceux-ci peuvent signifier que quelque chose échoue.

Les autres catégories d’images nuisibles incluent l’évitement de proxy, les domaines nouvellement enregistrés, les sites Web nuisibles, le piratage et le DNS dynamique.

Taille

Sysdig a évalué 250 000 images Linux pour comprendre quelles charges utiles nuisibles sont dissimulées dans les images de conteneur sur Docker Hub. 1652 d’entre eux s’avèrent dangereux pour les concepteurs.

Les scientifiques avertissent que les cybercriminels cachent des logiciels malveillants en imitant le nom de logiciels open source populaires. Les approches utilisées ciblent particulièrement les charges de travail du cloud et des conteneurs. Les organisations qui déploient de telles charges de travail sont sensées agir avec minutie. Cela peut être fait, par exemple, en analysant les images à la recherche de logiciels malveillants potentiels.

Toute l’actualité en temps réel, est sur L’Entrepreneur

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici