情境示意圖，Photo by Ayana Fragoso on pixy

容器映像檔受到許多開發人員歡迎，卻也暗藏危機。安全廠商發現，Docker Hub上有30個映像檔，下載總數超過2000萬次，竟然內含挖礦程式。

容器映像檔是開發雲端應用的重要應用，Docker Hub則是預設的容器儲存庫。透過容器映像檔管道，攻擊者即可將惡意程式植入到雲端上。

安全公司Palo Alto Networks研究人員Aviv Sasson，在Docker Hub上發現的30個惡意容器映像檔，分別來自10個不同帳號，總下載次數超過2000萬。其中內含的挖礦軟體九成以上是XMRig，其餘為Xmr-stak。

圖片來源／Palo Alto Networks

以目標貨幣來看，九成為挖Monero（門羅幣），少部份是Grin（6.5%）及Arionum（3.2%）幣。

圖片來源／Palo Alto Networks

透過檢視採礦池，研究人員估計這些挖礦軟體，已經產生價值超過20萬美元的加密貨幣。

Sasson檢視這些映像檔標籤，發現有些映像檔針對不同CPU架構或作業系統，使用不同的標籤，顯示攻擊者也企圖對不同受害者OS及CPU架構環境提供「客製化」的映像檔。還有些映像檔包含不同挖礦軟體的標籤，意謂攻擊者可根據用戶硬體，使用最適合的挖礦軟體。

透過分析挖礦軟體的貨幣錢包位址或礦池，研究人員也辨識出10個Docker Hub帳號中有4個來自同一波攻擊活動。Sasson去年的研究發現，一個使用azurenql帳號的攻擊者，他所植入Monero挖礦軟體的Docker映像檔，被下載次數超過1000萬次。

研究人員指出，這次研究僅利用電子錢包位址關聯分析，就找出那麼活躍的惡意映像檔，他懷疑實際情況可能更為嚴重，因為有些執行個體中的惡意程式偵測更為不易。