Redazione RHC : 14 agosto 2025 09:41
Los analistas de Binarly han encontrado al menos 35 imágenes en Docker Hub que aún están infectadas con una puerta trasera que penetró xz Utils el año pasado. Los investigadores advirtieron que esto podría poner en riesgo a los usuarios, las organizaciones y sus datos.
Binarly explica que muchas canalizaciones de CI/CD, desarrolladores y sistemas de producción extraen imágenes directamente de Docker Hub y las utilizan como base para sus contenedores. Si estas imágenes se ven comprometidas, cada nueva compilación heredará la vulnerabilidad o el código malicioso.
Recordemos que en 2024 se descubrió accidentalmente una puerta trasera en el popular paquete xz Utils, y el incidente recibió mucha atención. Como resultado, se le asignó al problema el identificador CVE-2024-3094 y obtuvo una puntuación de 10 sobre 10 en la escala CVSS.
Dado que xz Utils y su biblioteca liblzma son muy populares y se incluyen en la mayoría de las distribuciones de Linux (y también se utilizan en muchas aplicaciones de Linux y macOS), el descubrimiento del malware provocó una gran indignación en la comunidad de código abierto.
Una investigación realizada el año pasado reveló que la operación de puerta trasera fue cuidadosamente planificada y duró varios años; los atacantes habían planeado el ataque durante mucho tiempo y se habían ganado la confianza del responsable de xz. Utils, Lasse Collin (también conocido como Larhzu).
La puerta trasera interceptó y redirigió las operaciones de descifrado de la clave RSA de SSH (la función RSA_public_decrypt) a OpenSSH mediante el mecanismo IFUNC de la biblioteca glibc. Como resultado, si un atacante con una clave privada especial se conectaba vía SSH a un sistema infectado, podía eludir la autenticación y ejecutar comandos de forma remota con privilegios de root.
Dado que el malware se distribuyó en paquetes oficiales de Linux (como Debian, Fedora, OpenSUSE y Red Hat), la infección de xz Utils fue una de las vulnerabilidades más graves del año pasado.
Como informó Binarly esta semana, las interrupciones en la cadena de suministro causadas por la infección de xz Utils continúan, con docenas de imágenes infectadas aún presentes en Docker Hub.
«Descubrimos que algunas de estas imágenes comprometidas [de xz Utils] aún están disponibles públicamente en Docker Hub. Peor aún, se han creado otras imágenes sobre estas imágenes base infectadas, lo que ha provocado infecciones en cascada», afirmaron los investigadores.
En total, los expertos encontraron 35 imágenes de este tipo aún disponibles para descargar. Al mismo tiempo, los analistas enfatizan que esta cifra solo refleja parcialmente la verdadera magnitud del problema, ya que no han realizado un análisis completo de la plataforma.
RedazioneEl equipo de Darklab, la comunidad de expertos en inteligencia de amenazas de Red Hot Cyber, ha identificado un anuncio en el mercado de la dark web «Tor Amazon», la contraparte criminal del popular...
La Conferencia Red Hot Cyber se ha convertido en un evento habitual para la comunidad Red Hot Cyber y para cualquier persona que trabaje o esté interesada en el mundo de las tecnologías digitales y ...
El lanzamiento de Hexstrike-AI marca un punto de inflexión en el panorama de la ciberseguridad. El framework, considerado una herramienta de última generación para equipos rojos e investigadores, e...
LockBit representa una de las bandas de ransomware más longevas y mejor estructuradas de los últimos años, con un modelo de ransomware como servicio (RaaS) que ha impactado profundamente el ecosist...
El 31 de agosto de 2025, el vuelo AAB53G, operado por un Dassault Falcon 900LX con matrícula OO-GPE y con la presidenta de la Comisión Europea, Ursula von der Leyen, despegó de Varsovia y aterrizó...
