30/03/21
Исследователь безопасности Авив Сассон (Aviv Sasson) из подразделения Unit 42 компании Palo Alto Networks обнаружил майнеры для добычи криптовалюты в 30 контейнерах в библиотеке Docker Hub, насчитывающих более 20 млн загрузок.
Docker Hub — самая большая библиотека контейнерных приложений, позволяющая компаниям обмениваться образами внутри компании или со своими клиентами, а сообществу разработчиков — распространять проекты с открытым исходным кодом.
По словам специалиста, образы были загружены с 10 разных учетных записей. В большинстве случаев злоумышленники добывали криптовалюту Monero, причем наиболее предпочтительным инструментом для этой цели был XMRig. Однако некоторые вредоносные действия были направлены на добычу криптовалюты Grin (GRIN) или ARO (Aronium).
В рамках операции злоумышленники смогли добыть криптовалюту на сумму около $200 тыс. Просматривая теги образов, Сассон обнаружил, что в некоторых случаях существуют разные теги для архитектур процессоров или операционных систем.
«Похоже, что некоторые злоумышленники универсальны и добавляют эти теги, чтобы соответствовать широкому кругу потенциальных жертв, включая ряд операционных систем и архитектур ЦП», — пояснил Сассон.
Он также заметил, что существуют теги с различными типами криптомайнеров. Таким образом злоумышленник может выбрать тот тег, который лучше всего подходит для оборудования жертвы. Общим элементом для всех тегов образов оказался адрес кошелька или учетные данные пула майнинга. С помощью данных идентификаторов исследователь смог связать некоторые вредоносные аккаунты с предыдущими кампаниями по криптоджекингу.
С полными списком вредоносных образов, обнаруженных Сассоном, можно ознакомиться здесь.
