Investigadores de ciberseguridad han detectado una campaña activa contra el repositorio oficial de Docker Hub checkmarx/kics. Según un aviso de la firma Socket, actores desconocidos lograron sobrescribir etiquetas legítimas como v2.1.20 y alpine, además de crear una etiqueta falsa v2.1.21. El incidente expone riesgos en la cadena de suministro de software y afecta a equipos que confían ciegamente en imágenes oficiales.
Cómo funciona el ataque y qué etiquetas están comprometidas 🛡️
El ataque explota la capacidad de sobrescribir etiquetas existentes en Docker Hub sin necesidad de un nuevo lanzamiento. Las etiquetas v2.1.20 y alpine fueron reemplazadas por versiones maliciosas, mientras que la etiqueta v2.1.21 no corresponde a ningún release oficial de Checkmarx. Socket recomienda verificar el hash de las imágenes descargadas y evitar el uso de etiquetas latest o alpine hasta nuevo aviso. El incidente recuerda la importancia de firmar imágenes y usar referencias inmutables como SHA256.
El ataque que convierte un contenedor en un contenedor de sorpresas 😅
Porque no hay nada como despertarse, ejecutar un docker pull y descubrir que tu imagen de seguridad ahora viene con un extra de malware. Los atacantes, al parecer, decidieron que la etiqueta alpine necesitaba un toque más... alpino. Lo peor es que la etiqueta v2.1.21 suena tan oficial que hasta el propio KICS se habría confundido. Menos mal que solo es una alerta; ya veremos en el próximo parche si toca desinfectar el cluster o cambiar de hobby.