I ricercatori di cybersecurity hanno rilevato una campagna attiva contro il repository ufficiale di Docker Hub checkmarx/kics. Secondo un avviso della società Socket, attori sconosciuti sono riusciti a sovrascrivere tag legittimi come v2.1.20 e alpine, oltre a creare un tag falso v2.1.21. L'incidente espone rischi nella catena di approvvigionamento del software e colpisce i team che si fidano ciecamente delle immagini ufficiali.
Come funziona l'attacco e quali tag sono compromessi 🛡️
L'attacco sfrutta la capacità di sovrascrivere tag esistenti su Docker Hub senza bisogno di un nuovo rilascio. I tag v2.1.20 e alpine sono stati sostituiti da versioni dannose, mentre il tag v2.1.21 non corrisponde ad alcun rilascio ufficiale di Checkmarx. Socket consiglia di verificare l'hash delle immagini scaricate ed evitare l'uso dei tag latest o alpine fino a nuovo avviso. L'incidente ricorda l'importanza di firmare le immagini e utilizzare riferimenti immutabili come SHA256.
L'attacco che trasforma un contenitore in un contenitore di sorprese 😅
Perché non c'è niente come svegliarsi, eseguire un docker pull e scoprire che la tua immagine di sicurezza ora viene fornita con un extra di malware. Gli aggressori, a quanto pare, hanno deciso che il tag alpine aveva bisogno di un tocco più... alpino. La cosa peggiore è che il tag v2.1.21 suona così ufficiale che persino lo stesso KICS si sarebbe confuso. Meno male che è solo un avviso; vedremo nella prossima patch se tocca disinfettare il cluster o cambiare hobby.