サイバーセキュリティ研究者らは、Docker Hubの公式リポジトリcheckmarx/kicsに対する活発なキャンペーンを検出しました。セキュリティ企業Socketの通知によると、未知の攻撃者がv2.1.20やalpineなどの正規タグを上書きし、さらに偽のタグv2.1.21を作成しました。このインシデントはソフトウェアサプライチェーンのリスクを露呈し、公式イメージを盲目的に信頼するチームに影響を及ぼします。
攻撃の仕組みと危険なタグ 🛡️
この攻撃は、新しいリリースを必要とせずにDocker Hub上の既存タグを上書きできる機能を悪用しています。タグv2.1.20とalpineは悪意のあるバージョンに置き換えられ、一方タグv2.1.21はCheckmarxの公式リリースには対応していません。Socketは、ダウンロードしたイメージのハッシュを検証し、latestやalpineタグの使用を新たな通知があるまで避けることを推奨しています。このインシデントは、イメージへの署名とSHA256のような不変参照の使用の重要性を改めて認識させるものです。
コンテナを驚きの箱に変える攻撃 😅
朝起きてdocker pullを実行し、セキュリティイメージにマルウェアのおまけが付いていることを発見するほど素晴らしいことはありません。攻撃者はどうやら、alpineタグにもう少し…アルパインらしい味付けが必要だと判断したようです。最悪なのは、v2.1.21というタグが非常に公式っぽく聞こえるため、KICS自身でさえ混乱してしまったかもしれないことです。まだ警告段階で良かったです。次のパッチでクラスタを消毒するか、趣味を変える時が来るか、見守りましょう。