Peneliti menemukan lebih dari dua lusin container di Docker Hub yang telah diunduh lebih dari 20 juta kali hadir dengan operasi cryptojacking yang sudah berlangsung setidaknya selama dua tahun.
Aviv Sasson, bagian dari tim threat intelligence Palo Alto Networks, menemukan adanya 30 image berbahaya di Docker Hub yang terlibat dalam operasi cryptojacking.
Peneliti menemukan bahwa mereka berasal dari 10 akun yang berbeda. Beberapa di antaranya memiliki nama yang secara jelas menunjukkan tujuan mereka, sementara yang lain memiliki nama yang mengecohkan seperti “proxy” atau “ggcloud” atau “docker”.
Dalam kebanyakan kasus, operasi tersebut menambang cryptocurrency Monero, XMRig menjadi alat favorit untuk tujuan tersebut. Namun, Sasson menemukan bahwa beberapa operasi menambang cryptocurrency Grin (GRIN) atau ARO (Aronium).
Setelah memeriksanya, peneliti memperkirakan bahwa aktivitas cryptojacking yang melibatkan container ini memungkinkan para penyerang untuk menambang cryptocurrency dengan nilai sekitar $200.000.
Baca Juga: “Doki, Malware Linux Baru Yang Menargetkan Server Docker“
Melihat tag image, yang mereferensikan versi berbeda, Sasson menemukan bahwa dalam beberapa kasus terdapat tag yang berbeda untuk berbagai arsitektur prosesor atau sistem operasi.
“Sepertinya penyerang serba bisa dan menambahkan tag ini agar sesuai dengan berbagai kemungkinan korban yang mencakup sejumlah sistem operasi (OS) dan arsitektur CPU,” kata Aviv Sasson.
Dia juga memperhatikan bahwa adanya tag dengan berbagai jenis cryptominer. Ini akan memungkinkan penyerang untuk memilih salah satu yang paling sesuai dengan perangkat keras korban, peneliti menjelaskan.
Elemen umum untuk semua tag dalam image adalah alamat wallet atau kredensial untuk pengumpulan hasil tambang. Dengan menggunakan identifikasi ini, peneliti dapat menautkan beberapa akun berbahaya dengan operasi cryptojacking sebelumnya.
Sasson percaya temuannya hanya mewakili secuil operasi cryptojacking berbasis cloud, Docker Hub hanyalah salah satu registri publik yang disalahgunakan dengan cara ini.
