警惕！新型恶意软件通过多层混淆技术劫持Docker镜像

网络安全研究人员最新发现一种针对Docker环境的恶意软件活动，其采用独特的多层混淆技术来规避检测，并劫持计算资源进行加密货币挖矿。

Docker成为攻击新目标

作为主流的容器化平台，Docker因其广泛的应用和便捷的公共镜像仓库部署方式，正成为网络犯罪分子重点攻击目标。攻击者通常利用配置不当或暴露在公网的Docker服务，通过Docker Hub上的恶意镜像发起攻击。

本次攻击活动始于对Docker Hub上"kazutod/tene:ten"镜像的拉取请求。研究人员使用Docker内置工具分析发现，该镜像内嵌的ten.py脚本采用了一种复杂的递归式混淆机制：

1. 脚本定义了一个Lambda函数，用于反转base64编码字符串

2. 解码后使用zlib解压缩并执行

3. 该过程被递归循环63次后才显露最终恶意代码

这种深层次混淆技术不仅能够绕过传统特征检测，更给人工分析设置了极高障碍。不过研究人员通过自动化工具仍可在数分钟内完成解码。

新型加密货币劫持模式

与直接部署XMRig等挖矿工具的传统方式不同，该恶意软件采用了创新性手法：

- 连接Web3初创企业teneo.pro的社交数据网络

- 通过模拟节点"存活"状态获取"Teneo Points"代币奖励

- 避免传统挖矿行为导致的高资源消耗特征

安全专家防御建议

针对日益复杂的容器安全威胁，专家建议企业采取以下防护措施：

1. 非必要不将Docker服务暴露在公网

2. 实施强身份认证和网络防火墙

3. 建立容器活动审计与异常监测机制

4. 仅从可信源获取镜像并执行安全扫描

研究人员指出，这反映了攻击者正从传统的挖矿工具转向滥用合法区块链奖励系统的新趋势。由于这类私有代币的封闭特性，攻击者的实际获利难以追踪量化。随着攻击手段持续演进，企业必须保持警惕，及时调整容器安全防护策略。

来源：https://cybersecuritynews.com/new-malware-hijacking-docker-images/