含有挖矿软件的Docker映像被下载2000万次 加密劫持至少已经两年

国外安全研究人员在针对Docker Hub 上托管的映像进行研究时发现，至少有两款容器映像内含门罗币挖矿软件。

当用户下载和使用这些容器映像时其中包含的挖矿软件就会启动，然后利用用户设备的计算性能用来挖掘门罗币。

但黑客挖掘的不仅仅是门罗币，还有名为GRIN和ARO的加密货币 ，这些加密货币都是匿名币相对来说追踪困难。

Docker Hub是全球最大的容器应用程序库 , Docker公司在这里发布映像并允许其他开发者也共享自己的映像等。

令人惊讶的是这些含有挖矿软件的恶意容器映像下载次数竟超过 2000 万次，并且映像发布时间也已经超过两年。

黑客在恶意容器名称里加上Proxy、GGCloud以及 Docker 等具有诱导性的关键词 , 这样可以诱导用户下载安装。

值得注意的是这些恶意容器下载量和评分都非常高排名也比较靠前，因此用户通过关键词搜索时容易被误导下载。

但需要注意的是含有挖矿软件的恶意容器映像远不止两款，只是下载次数超过 2000 万次的恶意容器映像有两款。

研究人员发现至少有30款容器带挖矿软件 , 而且应该是出自两个不同的团队 , 这两个团队注册多个账号发布容器。

在发布安全报告后其中一个开发团队已经将恶意映像撤回，但另一个团队的恶意映像目前仍然提供用户下载安装。

尽管门罗币等隐私货币无法追踪账户金额流转，但可以通过钱包地址和矿池来检查对应的挖矿操作获得的收益等。

研究人员检查后发现黑客的钱包地址收到的加密货币价值约为 20 万美元 ，对黑客来说这确实是有利可图的勾当。

另外研究人员还发现黑客在发布的映像里添加多种操作系统和微体系架构标签，这样可以吸引更多用户下载安装。

研究人员表示这种基于云的加密劫持操作只是范例，研究人员相信除Docker Hub 外其他平台也有这类恶意容器。

附：如果你下载的容器开发者为 azurenql、021982、dockerxmrig、ggcloud1和ggcloud2则说明为恶意容器。

• 021982/155_138
• 021982/66_42_53_57
• 021982/66_42_93_164
• 021982/xmrig
• 021982/xmrig1
• 021982/xmrig2
• 021982/xmrig3
• 021982/xmrig4
• 021982/xmrig5
• 021982/xmrig6
• 021982/xmrig7
• avfinder/gmdr
• avfinder/mdadmd
• docheck/ax
• docheck/health
• dockerxmrig/proxy1
• dockerxmrig/proxy2
• ggcloud1/ggcloud
• ggcloud2/ggcloud
• kblockdkblockd/kblockd
• osekugatty/picture124
• osekugatty/picture128
• tempsbro/tempsbro
• tempsbro/tempsbro1
• toradmanfrom/toradmanfrom
• toradmanfrom/toradmanfrom1
• xmrigdocker/docker2
• xmrigdocker/docker3
• xmrigdocker/xmrig
• xmrigdocker/xmrig
• zenidine/nizadam