前言

近年来云原生容器的应用越来越流行，统计数据显示高达47%生产环境容器镜像会来源于公用仓库^[1]，Docker Hub作为全球最大的公共容器镜像仓库，已然成为整个云原生应用的软件供应链安全重要一环，其镜像的安全风险问题对生态影响尤为重要。腾讯安全云鼎实验室针对云原生容器安全进行了长期研究投入，对Docker Hub的镜像安全风险建立了长期监控和安全态势分析。近期监测到一个较大的挖矿黑产团伙anandgovards（挖矿账户中包含了这个邮箱账号），利用Docker Hub上传特制挖矿镜像，通过蠕虫病毒快速感染docker主机，进而下载相关镜像进行挖矿。该黑产团伙从2020年6月开始使用3个Docker Hub账户制作了21个恶意镜像，累计下载传播量达到342万，获取了不低于313.5个门罗币，获利高达54万多人民币。

初探恶意镜像

针对该黑产团伙anandgovards，我们通过对Docker Hub的安全监控和分析暂时发现3个相关账户，共涉及21个镜像，其中最高的下载量达到百万。通常黑产通过蠕虫病毒感染docker主机，入侵成功后，再自动下拉这些黑产镜像到本地运行进行挖矿获利。

该黑产相关3个账户名为abtechbed、svagamx、srinivasram，其中srinivasram相关镜像申请日期为2020年5月，abtechbed相关镜像的申请日期为2020年6月到2020年12月，svagamx相关镜像申请日期为2021年4月16日。挖矿账户活跃到2021年5月，挖矿活动持续时间长达一年。

abtechbed账户中的镜像信息：

srinivasram账户中的镜像信息：

svagamx账户中的镜像信息：

下表提供了此Docker Hub帐户下部分镜像下载量及钱包地址，镜像最高下载量达到了157万次。