اگه تو هم از داکر (Docker) استفاده میکنی یا حتی فقط اسمش به گوشت خورده، باید اینو بدونی که هنوزم کلی تصویر لینوکسی مشکوک روی Docker Hub هست که ممکنه یه روزی کار دستت بده! خب بذار اول یه توضیح کوچیک بدم: داکر یه ابزار خیلی معروف بین برنامهنویساست که باهاش میشه برنامهها رو تو “بستههای کوچیک و جدا” اجرا کرد. این بستهها رو بهش میگن Docker Image یا همون “تصویر داکر”.
خلاصه داستان از این قراره که اخیراً محققای امنیتی پیدا کردن حداقل ۳۵ تا از این تصاویر لینوکس که روی Docker Hub آپلود شدن، یه بخش خطرناک و آلوده به اسم بکدور (Backdoor) دارن. بکدور یعنی یه راه مخفی برای نفوذ هکرها، جوری که انگار یه در مخفی پشت پنجره خونت باشه که هرکی خبر داشته باشه میتونه بیدردسر وارد شه!
ماجرا از اونجا شروع شد که تو مارس ۲۰۲۴، توی ابزار معروفی توی دنیای لینوکس به اسم XZ Utils (یه ابزار برای فشردهسازی فایلها تو لینوکسه)، محققها یه کد مخرب پیدا کردن که تو نسخههای ۵.۶.۰ و ۵.۶.۱ جا داده شده بود. جالب اینجاست که این کد مخرب رو ظاهراً یه نفر به نام ‘Jia Tan’ اضافه کرده بود. این بنده خدا دو سال توی انجمنهای اپنسورس حسابی خوشنام شده بود و کلی همکاری کرده بود تا کسی شک نکنه!
این بکدور تو کتابخونه liblzma.so بود. حالا، اپنسورس یعنی پروژههایی که کدشون بازه و همه میتونن ببینن و همکاری کنن. ولی اینجا یه تیکه مخرب رمزنگاری شده قایم شده بود!
این ماجرا فقط تو لینوکس های معروف مثل دبیان (Debian)، فدورا (Fedora) و اوپنسوزه (OpenSUSE) نبود؛ بلکه همه شاخههای لینوکسی که اون بسته آلوده رو داشتن تحت تاثیر بودن. حتی بعضی تصاویر داکر که با این نسخهها ساخته شده بودن هم آلوده شدن. متاسفانه، همون تصاویر آلوده یه جورایی شدن پایهی ساخت تصویرهای دیگه، پس دایره آلودگی هی بزرگتر شد! محققهای Binarly میگن اونا فعلاً فقط ۳۵ تا تصویر آلوده رو پیدا کردن چون تمرکزشون رو دبیان بوده، و هنوز خیلیهاشون کشف نشدن.
یادت باشه: این یعنی اگه حتی یه تصویر آلوده رو به عنوان پایه پروژهت استفاده کنی، ممکنه پروژه خودتم آلوده بشه، حتی اگه خودت کد مخربی نذاشته باشی!
حالا یه نکته جالب و عجیبتر اینکه دبیان گفته این تصاویر آلوده رو حذف نمیکنه! دلیلشون هم اینه که این تصاویر “Historical Artifact” یعنی “آثار تاریخی” حساب میشن و دیگه قدیمیان و نباید ازشون استفاده شه. Basically خودشون گفتن کسی سراغشون نره؛ ولی خب بازم هستند اونجا، پس احتیاط کن.
بد نیست بدونی که هنوزم خیلی مشخص نیست تصاویر آلوده مربوط به فدورا و OpenSUSE چندتاشون و کدوماشون رو داکر باقی موندن. هرچی هست، اگه برنامهنویسی و از تصاویر داکر استفاده میکنی، حتماً چک کن ببینی پایه کارت چی بوده! چون این بکدور میتونست باعث بشه یه نفر کاملاً کنترل سرورت رو به دست بگیره، دیتاهات رو برداره یا حتی برنامهت رو باجافزاری کنه (Ransomware یعنی یه نفر سیستم رو قفل کنه تا پول بگیری بازش کنه).
جمعبندی: اگه سمت لینوکس، داکر و این تصاویر میری، حواست جمع باشه! حتماً از تصاویر جدید و مطمئن استفاده کن و هرجوری که میتونی قبل استفاده چک کن تا گیر یه نفر با دمپایی مخفی نیفتی!
پ.ن: اگه دوست داری امنیت کارت بیشتر شه، پیشنهاد میکنم برای محافظت بیشتر بری سراغ برنامههای تأیید هویت (Authenticator app) و پسورد منیجرهای خفن! همیشه یه قدم جلوتر باش.
منبع: +
