Docker Hub发现带有挖矿后门的镜像，已被下载500万次

6月14日，安全厂商Fortinet与Kromtech发现17个受到感染的Docker容器。这些容器以可下载镜像形式存在，其中包含可用于挖掘加密货币的程序。在进一步调查当中，两家公司发现这些镜像的下载次数高达500万次，这意味着黑客能够将命令注入这些不安全容器当中，从而将相关代码注入至其它合法的Web应用程序当中。顺带一提，作为这些容器的发现平台，Docker Hub是一套用于承载用户镜像的存储库。

研究人员David Maciejak写道，“当然，我们基本可以确定其中并不涉及手动部署操作。实际上，攻击似乎以完全自动化形式实现。攻击者有可能开发出一套脚本以查找存在配置错误的已安装Docker与Kubernetes。其中，Docker将作为客户端/服务器架构存在，这意味着服务可以通过REST API实现完全远程管理。”

这些容器目前已经不复存在，但黑客可能已经借此获得了价值达9万美元的加密货币——虽然看似数字不大，但对此类黑客活动而言已经是一笔不小的收益。

Kromtech公司的一位报告撰写者[1]表示，“如今可公开访问且存在配置错误的编排平台如雨后春笋般不断涌现，Kubernetes就是其中的典型。这意味着黑客可以创建出全自动工具，迫使这些平台为其挖掘门罗币。通过将恶意镜像上传至Docker Hub注册表再与受害者系统建立对接，黑客得以挖掘到544.74个门罗币——相当于9万美元。”

Docker公司安全负责人David Lawrence在一篇报告中[2]提到，“作为一套类似于GitHub的公共存储库，Docker Hub的作用在于为社区服务。在处理公共存储库以及其中的开源代码时，我们建议您遵循以下最佳实践，具体包括：了解内容作者、在运行之前对镜像进行扫描，同时尽可能在Docker Hub当中使用官方发布的镜像或是Docker Store当中得到认证的内容。”

有趣的是，最近一段时间黑客已经将攻击矛头从亚马逊平台上的AWS Elastic Compute服务器转向Docker及其它基于容器的系统。虽然存在可用于管理Docker及Kubernetes容器的安全系统，但相信黑客将不断扩大自身攻击能力优势，因此用户应始终保持警惕态度并认真评估自身漏洞。