Kubernetes攻击暴涨282%：黑客把容器当跳板

过去一年，针对Kubernetes的攻击暴涨282%。不是扫描，不是试探，是实打实的横向移动——从容器里偷个令牌，就能一路杀进云账户的核心财务系统。

2025年的安全监控数据显示，22%的云环境里检测到了服务账户令牌盗窃的异常活动。IT行业占了全部观测活动的78%以上。这组数字背后，是一套被反复验证的攻击流水线。

Unit 42的研究员们拆解了多起真实入侵案，发现攻击者不再满足于"逃出容器"这种小目标。他们正在把Kubernetes的配置失误，变成通往云基础设施的特快专列。

从一枚令牌到整个集群：攻击者的"套娃"逻辑

攻击路径出奇地一致：先拿到容器内的代码执行权限，提取挂载的凭证，测试API权限边界，然后向高价值云资源 pivot（转向）。

关键点在于服务账户令牌。Kubernetes会自动给每个 pod 分配一个 JWT（JSON Web Token，一种用于身份验证的令牌格式），用来跟 API 服务器通信。这个设计本意是方便，但默认配置往往过于宽松。

一旦攻击者拿到高权限服务账户的令牌，整个集群就敞开了。他们可以跨命名空间操作负载、读取密钥、甚至往生产环境 pod 里植入后门。

Unit 42在报告中打了个比方：这就像是给每个房间配了一把万能钥匙，却把钥匙挂在了门把手上。

更麻烦的是，很多团队根本没意识到这些令牌的存在。它们自动挂载、自动生效，安全团队往往缺乏 visibility（可见性），直到攻击发生才后知后觉。

朝鲜黑客的"实战教学"：一次完整的杀伤链

2025年中期，Slow Pisces——这个也被追踪为 Lazarus 或 TraderTraitor 的朝鲜国家级黑客组织——对一家加密货币交易所发动了精准打击。

入口很老套：鱼叉式钓鱼邮件，目标是一名开发者的工位机。但接下来的操作，堪称 Kubernetes 攻击的教科书演示。

攻击者利用开发者活跃的、拥有高权限的云会话，直接向生产 Kubernetes 集群部署了一个恶意 pod。这个 pod 的唯一功能，就是暴露挂载的服务账户令牌。

偷到的令牌属于一个高权限管理服务账户，RBAC（基于角色的访问控制）权限范围极广。攻击者用它完成了整套动作：认证到 Kubernetes API 服务器、列举密钥、跨命名空间操作负载、在生产 pod 里植入后门维持持久化。

「一枚配置不当的令牌被偷，就能让攻击者获得对整个集群的广泛控制权。」Unit 42 在报告中写道。

但攻击没有停在集群边界。借助令牌关联的权限，攻击者横向移动到更广阔的云平台，访问后端系统，提取敏感凭证，最终触及交易所的财务基础设施。结果是：数百万美元的加密货币被盗。

整个链条的起点，只是一个被钓鱼的开发者和一个默认挂载的高权限令牌。

为什么配置失误成了"标配"？

Kubernetes 的复杂性是原罪。RBAC 规则、服务账户、命名空间隔离、网络策略——这些机制组合在一起，理解成本极高。很多团队为了"让东西跑起来"，选择了最宽松的配置。

服务账户令牌的问题尤其隐蔽。Kubernetes 默认自动挂载令牌到每个 pod，而很多工作负载根本不需要跟 API 服务器通信。这意味着大量不必要的凭证暴露在攻击面内。

云原生安全的另一个盲区是身份边界的模糊。Kubernetes 的身份体系跟底层云平台的 IAM（身份与访问管理）深度交织，但两者的权限映射往往缺乏审计。攻击者正是利用这个缝隙，从集群身份跳到云账户身份。

Unit 42 的研究员指出，他们观察到的入侵案例中，超过六成涉及过度授权的 service account。不是"能不能做"，而是"默认可做"——这种设计哲学在便利性和安全性之间严重失衡。

更现实的问题是人才缺口。懂 Kubernetes 的运维很多，懂 Kubernetes 安全的很少。攻击者利用的是这个认知差，而不是什么零日漏洞。

防御方的"止血"清单

Unit 42 的建议并不复杂，但执行率堪忧。核心就几条：禁用不必要的自动令牌挂载、实施最小权限 RBAC、监控 API 服务器的异常认证模式、把 Kubernetes 审计日志跟云平台日志做关联分析。

具体操作上，从 Kubernetes 1.24 版本开始，可以设置 `automountServiceAccountToken: false` 来关闭默认挂载。对于确实需要 API 访问的 pod，应该创建专用服务账户，权限粒度细化到具体资源类型。

检测层面，关注几类异常行为：来自 pod 的令牌使用模式突变、跨命名空间的敏感操作、非工作时间的 API 认证高峰。这些信号往往比漏洞利用痕迹更早出现。

云厂商也在补课。AWS、GCP、Azure 都推出了针对 Kubernetes 的托管安全服务，但默认不启用、配置项繁杂，实际覆盖率有限。

一个值得注意的趋势是：攻击者开始针对 CI/CD 管道。开发者工位机、构建节点、镜像仓库——这些环节的 Kubernetes 访问权限往往被忽视，却成为新的突破口。

Slow Pisces 的案例已经证明，钓鱼+云会话劫持+恶意 pod 部署的组合拳，可以绕过传统边界防护。防御体系必须从"网络边界"转向"身份边界"，从"漏洞管理"转向"权限治理"。

282% 的攻击增长不是终点。随着更多企业把核心负载迁往 Kubernetes，这个数字可能只是个开始。你的集群里，有多少个 pod 正在挂着永远用不到的万能钥匙？