Исследователи в области кибербезопасности обнаружили активную кампанию, направленную против официального репозитория Docker Hub checkmarx/kics. Согласно уведомлению компании Socket, неизвестные злоумышленники смогли перезаписать легитимные теги, такие как v2.1.20 и alpine, а также создали фальшивый тег v2.1.21. Инцидент раскрывает риски в цепочке поставок программного обеспечения и затрагивает команды, которые слепо доверяют официальным образам.
Как работает атака и какие теги скомпрометированы 🛡️
Атака использует возможность перезаписи существующих тегов в Docker Hub без необходимости нового релиза. Теги v2.1.20 и alpine были заменены вредоносными версиями, в то время как тег v2.1.21 не соответствует ни одному официальному релизу Checkmarx. Socket рекомендует проверять хэш загруженных образов и избегать использования тегов latest или alpine до дальнейших уведомлений. Инцидент напоминает о важности подписи образов и использования неизменяемых ссылок, таких как SHA256.
Атака, превращающая контейнер в контейнер с сюрпризами 😅
Потому что нет ничего лучше, чем проснуться, выполнить docker pull и обнаружить, что ваш образ безопасности теперь поставляется с дополнительным вредоносным ПО. Злоумышленники, похоже, решили, что тегу alpine не хватает... альпийской изюминки. Хуже всего то, что тег v2.1.21 звучит настолько официально, что даже сам KICS мог бы запутаться. Хорошо, что это всего лишь предупреждение; посмотрим в следующем патче, придется ли дезинфицировать кластер или менять хобби.