Creías que era una base de datos, pero resultó ser una granja de Monero: así la nube favorece a los hackers
Una letra de más que permite a terceros tomar el control del sistema.
Los registros públicos de contenedores se integran cada vez más en los procesos de desarrollo y despliegue de servicios; sin embargo, junto con la velocidad y la comodidad aumenta también el riesgo oculto. Descargar imágenes ya preparadas se percibe cada vez más como una operación neutra, aunque en la práctica es una decisión de confianza que influye directamente en la seguridad de la infraestructura y en los costes de los recursos en la nube.
El ingeniero principal de investigación de amenazas en la nube de Qualys, Amit Gadhave, informó que los catálogos públicos de contenedores se han convertido en un canal conveniente para distribuir imágenes maliciosas. En esos paquetes cada vez más se incluyen mineros ocultos de criptomonedas y herramientas de persistencia en el sistema. El contenedor se inicia sin configuración adicional: eso facilita la tarea de los atacantes y acelera la propagación de las infecciones a través de los procesos de integración continua y entrega continua (CI/CD) y de los sistemas de orquestación de contenedores.
El análisis de más de 34 000 imágenes de contenedores mostró indicios persistentes de origen sospechoso. Unos 8 % tenían nombres de difícil lectura, casi el 60 % tenían menos de 1000 descargas y aproximadamente el 4 % contenían rastros de minería oculta de criptomonedas. Entre las imágenes maliciosas confirmadas, alrededor del 70 % estaban relacionadas con la minería. Con mayor frecuencia se utilizó el algoritmo RandomX y la moneda Monero, ya que esas herramientas funcionan eficazmente en procesadores convencionales.
Un problema aparte lo plantea la suplantación de nombres: se publican imágenes con nombres casi idénticos a los de paquetes base populares y a plataformas conocidas. La diferencia de una letra o un símbolo pasa desapercibida en una descarga rápida, y después un contenedor con código malicioso incorporado llega al entorno de despliegue. El análisis de las capas de esas imágenes con frecuencia revela archivos ejecutables de mineros y scripts de arranque enrevesados.
El informe también señala que los ataques contra los entornos de contenedores suelen combinar el camuflaje como componentes legítimos con un mecanismo oculto para apoderarse de recursos computacionales. Para reducir el riesgo se propone comprobar la fuente de la publicación, escanear las imágenes antes de su ejecución y supervisar el comportamiento de los contenedores mientras están en funcionamiento. El control durante todo el ciclo de vida del contenedor permite mantener el ritmo de desarrollo sin aumentar las vulnerabilidades del entorno.