网络安全研究人员检测到一场针对Docker Hub官方仓库checkmarx/kics的活跃攻击活动。根据Socket公司的安全公告,不明攻击者成功覆盖了v2.1.20和alpine等合法标签,并创建了虚假标签v2.1.21。该事件暴露了软件供应链风险,并影响到盲目信任官方镜像的团队。
攻击原理与受感染标签 🛡️
该攻击利用了Docker Hub无需发布新版本即可覆盖现有标签的特性。v2.1.20和alpine标签被替换为恶意版本,而v2.1.21标签并不对应Checkmarx的任何官方发布版本。Socket建议用户验证下载镜像的哈希值,并在收到进一步通知前避免使用latest或alpine标签。此事件再次凸显了镜像签名和使用SHA256等不可变引用(immutable references)的重要性。
当容器变成"惊喜"容器 😅
毕竟,没有什么比早上醒来执行docker pull,却发现你的安全镜像附赠了额外恶意软件更"惊喜"的事了。攻击者似乎认为alpine标签需要加点"高山风味"。最糟糕的是,v2.1.21这个标签听起来如此官方,连KICS自己都会被搞糊涂。幸好这只是一次警报;下次补丁时,我们再看是要清理集群,还是换个爱好了。