13.08.2025
1 хв
515
Фахівці з кібербезпеки знайшли понад 35 Docker-образів на Docker Hub, інфікованих відомим XZ Utils-бекдором, котрий продовжує поширюватися навіть через рік після інциденту, створюючи ризики для ланцюгів постачання ПЗ.
Компанія Binarly повідомила, що знайшла заражені базові Docker-образи, на котрих будувалися інші проєкти, таким чином поширюючи інфекцію транзитивно. Серед них — 12 офіційних Debian-образів та низка похідних, що містять шкідливий код у бібліотеці *liblzma.so*. Цей бекдор використовує механізм IFUNC у glibc, перехоплює функцію *RSA\_public\_decrypt* і дозволяє зловмиснику з приватним ключем обходити автентифікацію та виконувати команди від імені root через SSH. Виявлені артефакти досі доступні у публічному доступі, хоча їх експлуатація потребує специфічних умов, зокрема мережевого доступу до зараженого пристрою з увімкненим SSH-сервісом.
Інцидент із XZ Utils (CVE-2024-3094, CVSS 10.0) став відомим у березні 2024 року, коли Андрес Фройнд повідомив про бекдор у версіях 5.6.0 та 5.6.1. З’ясувалося, що зміни вніс розробник під ніком JiaT75, котрий майже два роки вибудовував довіру в проєкті, перш ніж отримати права мейнтейнера. Експерти вважають атаку складною, спланованою та ймовірно державного походження.
Binarly наголошує, що навіть нетривалий шкідливий код може залишатися непоміченим у контейнерних образах роками, поширюючись через CI/CD-пайплайни та екосистему Docker. Це підкреслює необхідність безперервного моніторингу на бінарному рівні, а не лише відстеження версій.
