La seguridad cibernética nunca deja de estar en el centro de atención, enfrentando desafíos que cambian con cada innovación tecnológica. Recientemente, una situación preocupante ha emergido con el descubrimiento de millones de repositorios Docker utilizados para difundir malware y sitios de phishing.
Docker, tan apreciado por los desarrolladores por su habilidad para empaquetar y desplegar aplicaciones con eficacia, ahora se encuentra en una encrucijada de seguridad. Este hallazgo resalta la urgente necesidad de adoptar estrategias de seguridad más sólidas y conscientes para proteger las infraestructuras tecnológicas y la información valiosa de los usuarios.
Desde principios de 2021, tres grandes campañas malintencionadas han aprovechado Docker Hub para distribuir malware y sitios de phishing a través de millones de repositorios. Según investigaciones llevadas a cabo por el equipo de seguridad de JFrog, aproximadamente el 20% de los 15 millones de repositorios en Docker Hub contenían desde spam hasta malware peligroso y sitios de phishing.
Los investigadores identificaron cerca de 4.6 millones de repositorios que, aunque no contenían imágenes ejecutables de Docker, estaban vinculados a estas actividades nocivas. De estos, alrededor de 2.81 millones se asociaron directamente con las tres campañas principales de malware.
Cada campaña empleó estrategias distintas para generar y diseminar repositorios maliciosos. Las campañas denominadas "Downloader" y "eBook Phishing" se enfocaron en la creación masiva de repositorios ficticios, mientras que la campaña "Website SEO" estableció repositorios a un ritmo diario, utilizando un único usuario por cada uno.
La campaña "Downloader" incluía descripciones con texto SEO generado automáticamente, promoviendo contenidos pirateados o trucos para videojuegos junto a enlaces hacia software malintencionado. “Esta campaña se llevó a cabo en dos fases distintas, una cerca de 2021 y otra en 2023, utilizando en ambas ocasiones la misma carga maliciosa, un archivo ejecutable que la mayoría de antivirus identifica como un troyano genérico”, explicó JFrog. Al ejecutar este archivo, aparece un cuadro de diálogo que insta al usuario a descargar e instalar el software promocionado, pero en realidad, descarga y programa la ejecución automática de archivos binarios maliciosos.
La campaña "eBook Phishing" creó casi un millón de repositorios ofreciendo descargas gratuitas de libros electrónicos con descripciones y URL aleatorias. Estos sitios prometen una copia gratuita completa del libro, pero redirigen a los visitantes a una página de phishing que solicita datos de tarjetas de crédito.
La finalidad de la campaña "Website SEO" sigue siendo incierta. Aunque el contenido parece mayormente inofensivo y todos los repositorios llevan el mismo nombre, "sitio web", JFrog especula que podría haber sido una prueba preliminar antes de lanzar campañas más dañinas.
Aparte de estas principales, existen otras campañas más pequeñas que generaron menos de 1000 repositorios cada una, centradas principalmente en impulsar contenido spam.
Tras la alerta de JFrog, el equipo de seguridad de Docker tomó medidas, eliminando los 3.2 millones de repositorios sospechosos de albergar contenido malicioso o no deseado de Docker Hub. “Este caso destaca cómo los atacantes pueden explotar la credibilidad de plataformas como Docker Hub, complicando la identificación de intentos de phishing y de instalación de malware”, agregaron desde JFrog.
“Casi tres millones de repositorios maliciosos, activos en algunos casos durante más de tres años, evidencian el uso indebido continuo de la plataforma Docker Hub por parte de los atacantes y la necesidad de una vigilancia constante en dichas plataformas”, concluyeron.
Conoce más sobre: Monitoreo de Docker con Wazuh
1. Escaneo Regular de Imágenes: Es vital realizar escaneos regulares de las imágenes Docker para detectar vulnerabilidades y malwares conocidos.
2. Gestión de Configuraciones Seguras: Adoptar y mantener configuraciones seguras en todos los contenedores es fundamental. Esto incluye la implementación de principios de menor privilegio, donde los contenedores se ejecutan con el mínimo de permisos necesarios para funcionar.
3. Educación y Concienciación: Capacitar a los desarrolladores y administradores en las mejores prácticas de seguridad y los riesgos asociados con los contenedores es clave. La concienciación puede prevenir errores comunes como usar imágenes de contenedores de fuentes no confiables.
4. Adopción de Políticas de Seguridad Estrictas: Implementar políticas de seguridad que regulen el despliegue y la gestión de contenedores puede ayudar a mitigar riesgos. Esto incluye la verificación de la procedencia de las imágenes y el control de acceso basado en roles.
El descubrimiento de millones de repositorios Docker comprometidos sirve como un recordatorio crítico de los riesgos de seguridad inherentes a la adopción de nuevas tecnologías. A medida que la popularidad de los contenedores sigue creciendo, también lo hace la necesidad de implementar prácticas de seguridad robustas. Las organizaciones deben estar vigilantes y proactivas en la defensa de sus infraestructuras digitales para evitar ser víctimas de estas amenazas crecientes.