Des chercheurs en cybersécurité ont détecté une campagne active contre le dépôt officiel Docker Hub checkmarx/kics. Selon un avis de la société Socket, des acteurs inconnus ont réussi à écraser des étiquettes légitimes comme v2.1.20 et alpine, en plus de créer une fausse étiquette v2.1.21. L'incident expose des risques dans la chaîne d'approvisionnement logicielle et affecte les équipes qui font aveuglément confiance aux images officielles.
Comment fonctionne l'attaque et quelles étiquettes sont compromises 🛡️
L'attaque exploite la capacité d'écraser des étiquettes existantes sur Docker Hub sans nécessiter une nouvelle version. Les étiquettes v2.1.20 et alpine ont été remplacées par des versions malveillantes, tandis que l'étiquette v2.1.21 ne correspond à aucune version officielle de Checkmarx. Socket recommande de vérifier le hachage des images téléchargées et d'éviter d'utiliser les étiquettes latest ou alpine jusqu'à nouvel ordre. L'incident rappelle l'importance de signer les images et d'utiliser des références immuables comme SHA256.
L'attaque qui transforme un conteneur en un conteneur de surprises 😅
Parce qu'il n'y a rien de tel que de se réveiller, d'exécuter un docker pull et de découvrir que votre image de sécurité vient désormais avec un supplément de malware. Les attaquants, semble-t-il, ont décidé que l'étiquette alpine avait besoin d'une touche plus... alpine. Le pire est que l'étiquette v2.1.21 sonne tellement officielle que même KICS lui-même se serait trompé. Heureusement, ce n'est qu'une alerte ; on verra au prochain patch s'il faut désinfecter le cluster ou changer de hobby.