下载超过2千万次的Docker映像档被爆含有挖矿软件

容器映像档受到许多开发人员欢迎，却也暗藏危机。安全厂商发现，Docker Hub上有30个映像档，下载总数超过2000万次，竟然内含挖矿程式。

容器映像档是开发云端应用的重要应用，Docker Hub则是预设的容器储存库。透过容器映像档管道，攻击者即可将恶意程式植入到云端上。

安全公司Palo Alto Networks研究人员Aviv Sasson，在Docker Hub上发现的30个恶意容器映像档，分别来自10个不同账号，总下载次数超过2000万。其中内含的挖矿软件九成以上是XMRig，其余为Xmr-stak。

图片来源／Palo Alto Networks

以目标货币来看，九成为挖Monero（门罗币），少部分是Grin（6.5%）及Arionum（3.2%）币。

图片来源／Palo Alto Networks

透过检视采矿池，研究人员估计这些挖矿软件，已经产生价值超过20万美元的加密货币。

Sasson检视这些映像档标签，发现有些映像档针对不同CPU架构或操作系统，使用不同的标签，显示攻击者也企图对不同受害者OS及CPU架构环境提供“客制化”的映像档。还有些映像档包含不同挖矿软件的标签，意谓攻击者可根据用户硬件，使用最适合的挖矿软件。

透过分析挖矿软件的货币钱包位址或矿池，研究人员也辨识出10个Docker Hub账号中有4个来自同一波攻击活动。Sasson去年的研究发现，一个使用azurenql账号的攻击者，他所植入Monero挖矿软件的Docker映像档，被下载次数超过1000万次。

研究人员指出，这次研究仅利用电子钱包位址关联分析，就找出那么活跃的恶意映像档，他怀疑实际情况可能更为严重，因为有些执行个体中的恶意程式侦测更为不易。