Kryptojackingattacker på molnplattformen Docker

Palo Alto Networks, en av världens största IT-säkerhetsleverantörer, har identifierat ett Docker Hub-konto med skadlig programvara.

Kryptojackingattacker på molnplattformen Docker 1Ett användarkonto som varit aktivt sedan oktober 2019 har spridit sex docker-bilder med programvara som syftar till att utvinna kryptovalutan Monero (XMR) hos den som angrips. Bilderna har tillsammans anropats mer än 2 miljoner gånger. Efter upptäckten har Docker Hubs säkerhetsavdelning stängt ner användarkontot men åtminstone en av plånböckerna som spårats till kontot är fortfarande aktiv.

De senaste åren har containerplattformen Docker blivit allt mer populär bland företag för hantering och utveckling av mjukvara.

Den molnbaserade plattformen skapar goda förutsättningar för delning av mjukvaruapplikationer, men attraherar även cyberbrottslingar som drar nytta av möjligheten att utnyttja datakraft samtidigt som de förblir anonyma. Ett område där detta förekommer är i samband med utvinning av kryptovaluta, då cyberbrottslingarna distribuerar Docker-bilder till offren som omedvetet bidrar till att fylla en digital plånbok.

Kontot azurenql, som upptäcktes av Palo Alto Networks, använde anonymiseringsverktyg som ProxyChains och Tor för att dölja den skadliga koden inuti bilderna. Namnet azurenql, som lätt kan förväxlas med Microsofts molnplattform Azure, är troligtvis en bidragande faktor till framgången.

De sex Docker-bilderna hade sammanlagt anropats mer än 2 miljoner gånger, vilket kan jämföras med legitima Azure-relaterade bilder som kan ha allt från några tusen till över 100 miljoner anrop. En av de digitala plånböckerna som identifierats har använts för att tjäna mer än 525 XMR, motsvarande 36 000 USD.

Trots att Docker Hubs säkerhetsavdelning snabbt stängde ner det skadliga kontot går det fortfarande att avläsa aktivitet i den digitala plånboken. Palo Alto Networks kunder som prenumererar på tjänsten Threat Prevention är skyddade mot detta och liknande hot.