Redazione RHC : 14 Agosto 2025 09:40
Gli analisti di Binarly hanno trovato almeno 35 immagini su Docker Hub ancora infette da una backdoor che ha penetrato xz Utils l’anno scorso. I ricercatori hanno avvertito che questo potrebbe potenzialmente mettere a rischio utenti, organizzazioni e i loro dati.
Binarly spiega che molte pipeline CI/CD, sviluppatori e sistemi di produzione estraggono le immagini direttamente da Docker Hub, utilizzandole come base per i propri container. Se queste immagini vengono compromesse, ogni nuova build erediterà la vulnerabilità o il codice dannoso.
Ricordiamo che una backdoor nel popolare pacchetto xz Utils fu scoperta accidentalmente nel 2024 e l’incidente ricevette molta attenzione. Di conseguenza, al problema fu assegnato l’identificatore CVE-2024-3094 e ottenne 10 punti su 10 possibili sulla scala CVSS.
 CALL FOR SPONSOR - Sponsorizza la Graphic Novel Betti-RHC Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? Conosci il nostro corso sul cybersecurity awareness a fumetti? Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati. Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Poiché xz Utils e la sua libreria liblzma sono molto popolari e inclusi nella maggior parte delle distribuzioni Linux (e sono utilizzati anche da molte applicazioni Linux e macOS), la scoperta del malware ha scatenato l’intera comunità open source.
Un’indagine condotta l’anno scorso ha rivelato che l’operazione backdoor era stata pianificata con cura ed era durata diversi anni; gli aggressori avevano pianificato l’attacco per molto tempo e si erano guadagnati la fiducia del responsabile della manutenzione di xz Utils, Lasse Collin (alias Larhzu).
La backdoor intercettava e reindirizzava le operazioni di decrittazione della chiave RSA SSH (la funzione RSA_public_decrypt ) a OpenSSH tramite il meccanismo IFUNC della libreria glibc. Di conseguenza, se un aggressore con una chiave privata speciale si connetteva tramite SSH a un sistema infetto, era in grado di bypassare l’autenticazione ed eseguire comandi da remoto con privilegi di root.
Poiché il malware è stato infine distribuito nei pacchetti ufficiali della distribuzione Linux (come Debian, Fedora, OpenSUSE e Red Hat), l’infezione xz Utils è stata una delle compromissioni più gravi dell’anno scorso.
Come riportato da Binarly questa settimana, i problemi alla supply chain causati dall’infezione xz Utils sono ancora in corso, con decine di immagini infette ancora presenti su Docker Hub.
“Abbiamo scoperto che alcune di queste immagini compromesse [da xz Utils] sono ancora pubblicamente disponibili su Docker Hub. Quel che è peggio è che altre immagini sono state create su queste immagini di base infette, dando origine a infezioni a cascata”, hanno affermato i ricercatori.
In totale, gli esperti hanno trovato 35 immagini di questo tipo ancora disponibili per il download. Allo stesso tempo, gli analisti sottolineano che questo numero riflette solo parzialmente la reale portata del problema, poiché non hanno effettuato una scansione completa della piattaforma.
RedazioneROMA – La profonda crisi istituzionale che ha investito l’Autorità Garante per la Protezione dei Dati Personali ha spinto Guido Scorza, componente del Collegio, a un intervento pubblico mirato a ...
Negli ultimi anni, il panorama della sicurezza informatica in Italia ha visto una preoccupante escalation di attacchi, con un aumento significativo dei crimini informatici. Un fenomeno particolarmente...
Quest’autunno, abbiamo avuto un bel po’ di grattacapi con il cloud, non so se ci avete fatto caso. Cioè, AWS, Azure, e dopo Cloudflare. Tutti giù, uno dopo l’altro. Una sfilza di interruzioni ...
Il CERT-AGID ha rilevato recentemente una sofisticata campagna di phishing mirato che sta prendendo di mira gli studenti dell’Università di Padova (UniPd). L’operazione, ancora in corso, sfrutta ...
Gli esperti del Group-IB hanno presentato un’analisi dettagliata della lunga campagna di UNC2891, che ha dimostrato la continua sofisticatezza degli schemi di attacco agli sportelli bancomat. L’at...
