K8s安全警报：云身份窃取成APT新宠，282%攻击增长背后的暗流

🎯 Critical APT组织

Palo Alto Unit42报告显示，Kubernetes相关威胁活动一年内激增282%，攻击者利用服务账户令牌窃取和公开应用漏洞（如CVE-2025-55182）实现容器逃逸与横向移动。以朝鲜APT组织Slow Pisces（Lazarus）为例，通过社工获取云凭证后，在K8s集群中部署恶意Pod窃取令牌，最终攻破加密货币交易所后端系统，盗取数百万美元。

来源：Palo Alto Unit42 | 2026-04-06 | 原文链接

🔍 关键发现

• Kubernetes相关威胁活动一年内增长282%，IT行业占被攻击目标的78%以上。
• 22%的云环境中观察到服务账户令牌窃取相关可疑活动，成为横向移动关键跳板。
• CVE-2025-55182（React2Shell）在公开后两天内即被用于攻击云服务，实现容器内命令执行。

⚔️ 攻击链分析

1. 通过鱼叉式钓鱼或利用公开应用漏洞（如CVE-2025-55182）获得初始访问权限 → 2. 在容器内枚举环境并窃取挂载的服务账户令牌 → 3. 利用令牌测试K8s API权限，横向移动到高价值工作负载或云服务 → 4. 利用获取的云身份（如AWS会话令牌）访问敏感后端系统，实施数据窃取或资金转移

🚩 失陷指标 (IOC)

• CVE-2025-55182（React2Shell）
• 恶意Pod部署行为（利用开发者活跃云会话）

🛡️ 缓解建议

• ✅ 严格实施最小权限原则，限制服务账户令牌的RBAC权限，避免过度授权。
• ✅ 启用运行时安全监控（如Cortex Cloud），检测异常API调用和令牌使用行为。
• ✅ 及时修补公开应用漏洞（如CVE-2025-55182），并对外部暴露的Ingress和负载均衡器进行攻击面管理。

涉及漏洞：["CVE-2025-55182"]

⚠️ 本文仅供安全研究与学习，IOC 信息请勿用于非法目的。