Вы думали, это база данных, а это — ферма Monero. Как облака работают на хакеров
NewsMakerОдна лишняя буква, которая отдаёт контроль над системой посторонним.
Публичные реестры контейнеров всё глубже встраиваются в процессы разработки и развёртывания сервисов, однако вместе со скоростью и удобством растёт и скрытый риск. Загрузка готовых образов всё чаще воспринимается как нейтральная операция, хотя на практике это — решение о доверии, которое напрямую влияет на безопасность инфраструктуры и расходы на облачные ресурсы .
Старший инженер по исследованию облачных угроз компании Qualys Амит Гадхаве сообщил , что открытые каталоги контейнеров стали удобным каналом распространения вредоносных образов. Внутри таких пакетов всё чаще размещаются скрытые майнеры криптовалют и инструменты закрепления в системе. Контейнер запускается без дополнительной настройки — это упрощает злоумышленникам задачу и ускоряет масштабирование заражений через CI/CD и системы оркестрации контейнеров.
Анализ более 34 тысяч контейнерных образов показал устойчивые признаки подозрительного происхождения. Около 8% имели трудно читаемые названия, почти 60% — менее 1000 загрузок, а примерно 4% содержали следы скрытой добычи криптовалют. Среди подтверждённых вредоносных образов около 70% были связаны именно с майнингом. Чаще всего использовался алгоритм RandomX и валюта Monero , поскольку такие инструменты эффективно работают на обычных процессорах.
Отдельную проблему создаёт приём с подменой названий — когда публикуются образы с именами, почти совпадающими с популярными базовыми пакетами и известными платформами. Разница в одной букве или символе остаётся незамеченной при быстрой загрузке, после чего в среду развёртывания попадает контейнер со встроенным вредоносным кодом. Проверка слоёв таких образов нередко выявляет исполняемые файлы майнеров и запутанные сценарии запуска.
В отчёте также отмечается, что атаки на контейнерные среды обычно сочетают маскировку под легитимные компоненты и скрытый механизм захвата вычислительных ресурсов. Для снижения риска предлагается проверять источник публикации, выполнять сканирование образов до запуска и отслеживать поведение контейнеров во время работы. Контроль на всём жизненном цикле контейнера позволяет сохранить темп разработки без роста уязвимостей среды.
Публичные реестры контейнеров всё глубже встраиваются в процессы разработки и развёртывания сервисов, однако вместе со скоростью и удобством растёт и скрытый риск. Загрузка готовых образов всё чаще воспринимается как нейтральная операция, хотя на практике это — решение о доверии, которое напрямую влияет на безопасность инфраструктуры и расходы на облачные ресурсы .
Старший инженер по исследованию облачных угроз компании Qualys Амит Гадхаве сообщил , что открытые каталоги контейнеров стали удобным каналом распространения вредоносных образов. Внутри таких пакетов всё чаще размещаются скрытые майнеры криптовалют и инструменты закрепления в системе. Контейнер запускается без дополнительной настройки — это упрощает злоумышленникам задачу и ускоряет масштабирование заражений через CI/CD и системы оркестрации контейнеров.
Анализ более 34 тысяч контейнерных образов показал устойчивые признаки подозрительного происхождения. Около 8% имели трудно читаемые названия, почти 60% — менее 1000 загрузок, а примерно 4% содержали следы скрытой добычи криптовалют. Среди подтверждённых вредоносных образов около 70% были связаны именно с майнингом. Чаще всего использовался алгоритм RandomX и валюта Monero , поскольку такие инструменты эффективно работают на обычных процессорах.
Отдельную проблему создаёт приём с подменой названий — когда публикуются образы с именами, почти совпадающими с популярными базовыми пакетами и известными платформами. Разница в одной букве или символе остаётся незамеченной при быстрой загрузке, после чего в среду развёртывания попадает контейнер со встроенным вредоносным кодом. Проверка слоёв таких образов нередко выявляет исполняемые файлы майнеров и запутанные сценарии запуска.
В отчёте также отмечается, что атаки на контейнерные среды обычно сочетают маскировку под легитимные компоненты и скрытый механизм захвата вычислительных ресурсов. Для снижения риска предлагается проверять источник публикации, выполнять сканирование образов до запуска и отслеживать поведение контейнеров во время работы. Контроль на всём жизненном цикле контейнера позволяет сохранить темп разработки без роста уязвимостей среды.