在主机上构建镜像: 本地镜像缓存复用

本地镜像缓存复用（Local Image Cache Reutilization）是攻击者利用主机已有的镜像层缓存，减少构建过程中的外部依赖下载，从而降低异常网络流量暴露风险的技术。通过复用本地存储的中间镜像层，攻击者可以最小化与外部仓库的交互，避免触发网络监控系统的异常下载告警。

该技术的匿迹性体现在网络行为降噪与构建溯源阻断。攻击者首先通过合法途径（如常规开发流程）在目标主机积累常用基础镜像层，后续攻击构建时通过--cache-from参数指定使用本地缓存，避免从公共仓库重复拉取镜像引发的日志记录。在构建恶意镜像时，仅需下载少量必要组件（如小型攻击载荷），将主要恶意操作封装在新增镜像层中。由于90%以上的镜像数据来自本地缓存，网络流量特征与正常开发行为高度相似，有效规避基于下载流量规模或来源的检测。此外，攻击者会定期清理构建历史记录，并利用镜像层的不可变特性，使得事后取证难以还原完整的攻击时间线。