0-day в деле
Image

0-day в деле

Показываем, как критические баги ломают системы в реальном времени, пока вендоры только готовят патч. 

Вы думали, это база данных, а это — ферма Monero. Как облака работают на хакеров

leer en español

Qualys Амит Гадхаве контейнеры реестры образов криптомайнинг цепочка поставок облачная безопасность
Вы думали, это база данных, а это — ферма Monero. Как облака работают на хакеров
Qualys Амит Гадхаве контейнеры реестры образов криптомайнинг цепочка поставок облачная безопасность

Одна лишняя буква, которая отдаёт контроль над системой посторонним.

image

Публичные реестры контейнеров всё глубже встраиваются в процессы разработки и развёртывания сервисов, однако вместе со скоростью и удобством растёт и скрытый риск. Загрузка готовых образов всё чаще воспринимается как нейтральная операция, хотя на практике это — решение о доверии, которое напрямую влияет на безопасность инфраструктуры и расходы на облачные ресурсы.

Старший инженер по исследованию облачных угроз компании Qualys Амит Гадхаве сообщил, что открытые каталоги контейнеров стали удобным каналом распространения вредоносных образов. Внутри таких пакетов всё чаще размещаются скрытые майнеры криптовалют и инструменты закрепления в системе. Контейнер запускается без дополнительной настройки — это упрощает злоумышленникам задачу и ускоряет масштабирование заражений через CI/CD и системы оркестрации контейнеров.

Анализ более 34 тысяч контейнерных образов показал устойчивые признаки подозрительного происхождения. Около 8% имели трудно читаемые названия, почти 60% — менее 1000 загрузок, а примерно 4% содержали следы скрытой добычи криптовалют. Среди подтверждённых вредоносных образов около 70% были связаны именно с майнингом. Чаще всего использовался алгоритм RandomX и валюта Monero, поскольку такие инструменты эффективно работают на обычных процессорах.

Отдельную проблему создаёт приём с подменой названий — когда публикуются образы с именами, почти совпадающими с популярными базовыми пакетами и известными платформами. Разница в одной букве или символе остаётся незамеченной при быстрой загрузке, после чего в среду развёртывания попадает контейнер со встроенным вредоносным кодом. Проверка слоёв таких образов нередко выявляет исполняемые файлы майнеров и запутанные сценарии запуска.

В отчёте также отмечается, что атаки на контейнерные среды обычно сочетают маскировку под легитимные компоненты и скрытый механизм захвата вычислительных ресурсов. Для снижения риска предлагается проверять источник публикации, выполнять сканирование образов до запуска и отслеживать поведение контейнеров во время работы. Контроль на всём жизненном цикле контейнера позволяет сохранить темп разработки без роста уязвимостей среды.