كشف باحثو الأمن السيبراني عن حملة نشطة تستهدف المستودع الرسمي لـ Docker Hub checkmarx/kics. وفقًا لتحذير صادر عن شركة Socket، تمكن جهات غير معروفة من استبدال علامات شرعية مثل v2.1.20 و alpine، بالإضافة إلى إنشاء علامة مزيفة v2.1.21. يكشف الحادث عن مخاطر في سلسلة توريد البرمجيات ويؤثر على الفرق التي تثق بشكل أعمى في الصور الرسمية.
كيف يعمل الهجوم وما العلامات المخترقة 🛡️
يستغل الهجوم القدرة على استبدال العلامات الموجودة في Docker Hub دون الحاجة إلى إصدار جديد. تم استبدال العلامتين v2.1.20 و alpine بإصدارات ضارة، بينما لا تتوافق العلامة v2.1.21 مع أي إصدار رسمي من Checkmarx. توصي Socket بالتحقق من تجزئة الصور التي تم تنزيلها وتجنب استخدام العلامات latest أو alpine حتى إشعار آخر. يذكرنا الحادث بأهمية توقيع الصور واستخدام المراجع الثابتة مثل SHA256.
هجوم يحول الحاوية إلى حاوية مفاجآت 😅
لأنه لا شيء يضاهي الاستيقاظ، وتنفيذ docker pull، لتكتشف أن صورة الأمان الخاصة بك أصبحت الآن تأتي مع إضافة من البرامج الضارة. يبدو أن المهاجمين قرروا أن العلامة alpine كانت بحاجة إلى لمسة أكثر... جبلية. الأسوأ هو أن العلامة v2.1.21 تبدو رسمية لدرجة أن KICS نفسه كان سيصاب بالارتباك. لحسن الحظ أنها مجرد تنبيه؛ سنرى في التحديث القادم ما إذا كان علينا تطهير المجموعة أم تغيير الهواية.