Docker Hubで35以上のLinuxイメージに悪意あるバックドアが発見される

2025年8月14日 — Docker Hubでホストされている少なくとも35のLinuxイメージに、ソフトウェア開発者やその製品を乗っ取り、データ窃盗、ランサムウェアなどのリスクにさらす可能性のある危険なバックドアマルウェアが含まれていることが判明した。

この悪意あるコードは「XZ-Utils」と呼ばれ、2024年3月にセキュリティ研究者によって、アップストリームのxz-utilsリリース5.6.0および5.6.1（liblzma.soライブラリ）に含まれていることが発見された。このコードは一時的に一部のLinuxディストリビューションパッケージに広がったが、安定版リリースには含まれていない。

警告にもかかわらず、これらの古いLinuxイメージの一部はDocker Hub上に残され、削除されない見込みである。Debian側はこれらを「歴史的アーティファクト」として扱い、現時点での削除には消極的である。利用者は、これらのイメージを使用する際に十分な注意が求められる。