Pesquisadores de cibersegurança detectaram uma campanha ativa contra o repositório oficial do Docker Hub checkmarx/kics. De acordo com um aviso da empresa Socket, atores desconhecidos conseguiram sobrescrever tags legítimas como v2.1.20 e alpine, além de criar uma tag falsa v2.1.21. O incidente expõe riscos na cadeia de suprimentos de software e afeta equipes que confiam cegamente em imagens oficiais.
Como funciona o ataque e quais tags estão comprometidas 🛡️
O ataque explora a capacidade de sobrescrever tags existentes no Docker Hub sem a necessidade de um novo lançamento. As tags v2.1.20 e alpine foram substituídas por versões maliciosas, enquanto a tag v2.1.21 não corresponde a nenhum lançamento oficial da Checkmarx. A Socket recomenda verificar o hash das imagens baixadas e evitar o uso das tags latest ou alpine até novo aviso. O incidente lembra a importância de assinar imagens e usar referências imutáveis como SHA256.
O ataque que transforma um contêiner em um contêiner de surpresas 😅
Porque não há nada como acordar, executar um docker pull e descobrir que sua imagem de segurança agora vem com um extra de malware. Os atacantes, ao que parece, decidiram que a tag alpine precisava de um toque mais... alpino. O pior é que a tag v2.1.21 soa tão oficial que até o próprio KICS teria se confundido. Ainda bem que é apenas um alerta; já veremos no próximo patch se é preciso desinfetar o cluster ou mudar de hobby.