Palo Alto Network的安全研究员Aviv Sasson发现了30个被植入挖矿木马的Docker镜像，这些镜像总计被下载了2000万次。

安全专家检查了矿池确定挖矿的账户持有的加密货币总量。Aviv Sasson发现在两年内攻击者持有的最大的矿池挖掘了价值 200000 美元的加密货币。

在容器镜像中植入挖矿木马是一种快速利用他人计算机资源帮助攻击者挖掘加密货币的方式。安全专家在深入调查了Docker Hub后，发现了30个恶意镜像，共计被拉取2000万次，攻击者利用此获利超过 20 万美元。

Docker Hub是世界上最大的容器镜像托管社区，有来自软件供应商、开源项目的超过十万个容器镜像。

在大多数镜像中，攻击者挖掘门罗币(90.3%)，也挖掘其他的加密货币如GRIN(6.5%)、ARO(3.2%)。在挖掘门罗币时，攻击者主要使用XMRig挖矿，也有少量的Hildegard与Graboid。

Palo Alto Network在报告中表示：“XMRig确实是受欢迎的，非常易于使用、高效而且开源。攻击者可以自己修改代码，所以攻击者非常喜欢使用XMRig”。

“正常情况下很多矿工都会将一部分算力捐赠给开发人员，攻击者常见的会将捐赠比例修改为0”。

研究人员注意到，某些镜像针对不同体系架构的CPU或操作系统有不同的标签，攻击者可以根据受害者的硬件选择最合适的矿工进行加密货币的挖掘。

这些矿机都有相同的钱包地址，安全专家发现在这些恶意的账户以前也与密码窃取事件相关。

云的普及为劫持提供了巨大的机会，安全专家开发了一个加密货币挖矿扫描工具，识别工具的有效载荷和钱包地址。即使通过简单的工具，在几百万个镜像里就可以发现几十个恶意镜像。

安全研究人员认为，这种问题可能比想象的更严重，有很多挖矿工具的有效载荷不容易被检测出来。

Docker 镜像

 
 

  
  
021982/155_138 
  
  
021982/66_42_53_57 
  
  
021982/66_42_93_164 
  
  
021982/xmrig 
  
  
021982/xmrig1 
  
  
021982/xmrig2 
  
  
021982/xmrig3 
  
  
021982/xmrig4 
  
  
021982/xmrig5 
  
  
021982/xmrig6 
  
  
021982/xmrig7 
  
  
avfinder/gmdr 
  
  
avfinder/mdadmd 
  
  
docheck/ax 
  
  
docheck/health 
  
  
dockerxmrig/proxy1 
  
  
dockerxmrig/proxy2 
  
  
ggcloud1/ggcloud 
  
  
ggcloud2/ggcloud 
  
  
kblockdkblockd/kblockd 
  
  
osekugatty/picture124 
  
  
osekugatty/picture128 
  
  
tempsbro/tempsbro 
  
  
tempsbro/tempsbro1 
  
  
toradmanfrom/toradmanfrom 
  
  
toradmanfrom/toradmanfrom1 
  
  
xmrigdocker/docker2 
  
  
xmrigdocker/docker3 
  
  
xmrigdocker/xmrig 
  
  
xmrigdocker/xmrig 
  
  
zenidine/nizadam 
 
 

参考来源：

• paloaltnetworks(https://unit42.paloaltonetworks.com/malicious-cryptojacking-images/)
• SecurityAffairs(https://securityaffairs.co/wordpress/116111/cyber-crime/docker-cryptojacking-attacks.html)