Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Κακόβουλο λογισμικό Κακόβουλο λογισμικό CanisterWorm

Κακόβουλο λογισμικό CanisterWorm

Μέχρι το Mezo το Κακόβουλο λογισμικό, Σκουλήκια
Μετάφραση σε:

Μια εξελιγμένη επίθεση στην αλυσίδα εφοδιασμού που αρχικά στόχευε τον ευρέως χρησιμοποιούμενο σαρωτή Trivy κλιμακώθηκε σε μια ευρύτερη παραβίαση που επηρέασε πολλά πακέτα npm. Οι απειλητικοί παράγοντες πίσω από την εκστρατεία είναι ύποπτοι για την ανάπτυξη ενός προηγουμένως μη καταγεγραμμένου αυτοδιαδιδόμενου worm, γνωστού ως CanisterWorm, αυξάνοντας σημαντικά την κλίμακα και τον αντίκτυπο της εισβολής.

Το κακόβουλο λογισμικό οφείλει το όνομά του στη χρήση ενός δοχείου πρωτοκόλλου υπολογιστή Διαδικτύου (ICP), έξυπνων συμβολαίων ανθεκτικών σε παραβίαση που φιλοξενούνται σε ένα αποκεντρωμένο blockchain, ως μέρος της υποδομής εντολών του. Αυτό σηματοδοτεί την πρώτη δημόσια τεκμηριωμένη περίπτωση δοχείων ICP που οπλίζονται για την ανάκτηση τελικών σημείων Διοίκησης και Ελέγχου (C2), εισάγοντας μια νέα και ανθεκτική τακτική που περιπλέκει τις παραδοσιακές προσπάθειες μετριασμού.

Παραβιασμένα πακέτα και διάνυσμα αρχικής πρόσβασης

Η επίθεση έχει επηρεάσει πολλά πακέτα npm σε διαφορετικά πεδία εφαρμογής, καταδεικνύοντας μια ευρεία ακτίνα έκρηξης εντός της αλυσίδας εφοδιασμού λογισμικού:

  • 28 πακέτα στο πλαίσιο του @EmilGroup
  • 16 πακέτα στο πλαίσιο του @opengov
  • Επιπλέον πακέτα όπως @teale.io/eslint-config, @airtm/uuid-base32 και @pypestream/floating-ui-dom

Αυτή η εκστρατεία έρχεται αμέσως μετά από μια παραβίαση διαπιστευτηρίων που επέτρεψε στους εισβολείς να δημοσιεύσουν κακόβουλες εκδόσεις εργαλείων που σχετίζονται με το Trivy, συγκεκριμένα trivy, trivy-action και setup-trivy, οι οποίες περιείχαν ενσωματωμένη λειτουργικότητα κλοπής διαπιστευτηρίων. Η επιχείρηση πιστεύεται ότι συνδέεται με μια ομάδα κυβερνοεγκληματιών που επικεντρώνεται στο cloud και ταυτοποιείται ως TeamPCP.

Ροή εργασίας για μολύνσεις και αποκεντρωμένη υποδομή διοίκησης

Η αλυσίδα μόλυνσης ξεκινά κατά τη διάρκεια της διαδικασίας εγκατάστασης του πακέτου npm, όπου ένα σενάριο μετά την εγκατάσταση εκτελεί έναν φορτωτή. Αυτός ο φορτωτής αναπτύσσει ένα backdoor που βασίζεται σε Python και έχει σχεδιαστεί για να επικοινωνεί με το δοχείο ICP. Το δοχείο λειτουργεί ως αναλυτής dead drop, επιστρέφοντας μια διεύθυνση URL που κατευθύνει το μολυσμένο σύστημα να κατεβάσει και να εκτελέσει το φορτίο επόμενου σταδίου.

Η αποκεντρωμένη φύση της υποδομής ICP παρέχει ένα σημαντικό πλεονέκτημα στους επιτιθέμενους. Δεδομένου ότι το δοχείο μπορεί να ενημερώνει δυναμικά τη διεύθυνση URL ωφέλιμου φορτίου, οι απειλητικοί παράγοντες μπορούν να διανέμουν νέα κακόβουλα δυαδικά αρχεία σε όλα τα μολυσμένα συστήματα χωρίς να τροποποιούν το ίδιο το κακόβουλο λογισμικό που έχει αναπτυχθεί. Αυτή η αρχιτεκτονική καθιστά επίσης τις προσπάθειες εξάλειψης σημαντικά πιο δύσκολες.

Μηχανισμός Επιμονής και Τεχνικές Αθόρυβης Λειτουργίας

Η επιμονή επιτυγχάνεται μέσω της δημιουργίας μιας υπηρεσίας χρήστη systemd που έχει ρυθμιστεί ώστε να επανεκκινεί αυτόματα την κακόβουλη διεργασία. Τα βασικά χαρακτηριστικά περιλαμβάνουν:

  • Η αυτόματη επανεκκίνηση επιβάλλεται μέσω της οδηγίας Restart=always
  • Μια καθυστέρηση 5 δευτερολέπτων πριν από την επανεκκίνηση της κερκόπορτας σε περίπτωση τερματισμού
  • Μεταμφιέζοντας την υπηρεσία ως νόμιμο λογισμικό παρακολούθησης PostgreSQL με το όνομα «pgmon»

Αυτή η προσέγγιση διασφαλίζει τη συνεχή λειτουργία, ελαχιστοποιώντας παράλληλα την πιθανότητα ανίχνευσης, συνδυαζόμενη με νόμιμες υπηρεσίες συστήματος.

Προσαρμοστική Παράδοση Φορτίου και Συμπεριφορά Διακόπτη Κλεισμού

Η κερκόπορτα επικοινωνεί περιοδικά με το δοχείο ICP κάθε 50 λεπτά, χρησιμοποιώντας έναν πλαστογραφημένο παράγοντα χρήστη προγράμματος περιήγησης για την αποφυγή υποψιών. Η διεύθυνση URL που επιστρέφεται καθορίζει την επόμενη ενέργεια:

  • Εάν η διεύθυνση URL υποδεικνύει ένα έγκυρο ωφέλιμο φορτίο, το κακόβουλο λογισμικό το κατεβάζει και το εκτελεί.
  • Εάν η διεύθυνση URL περιέχει 'youtube.com', το κακόβουλο λογισμικό εισέρχεται σε αδρανή κατάσταση

Αυτός ο μηχανισμός λειτουργεί αποτελεσματικά ως διακόπτης απομακρυσμένης εξουδετέρωσης. Εναλλάσσοντας τη διεύθυνση URL του δοχείου μεταξύ ενός καλοήθους συνδέσμου YouTube και ενός κακόβουλου ωφέλιμου φορτίου, ο εισβολέας μπορεί να ενεργοποιήσει ή να απενεργοποιήσει το κακόβουλο λογισμικό σε όλα τα μολυσμένα συστήματα. Αξίζει να σημειωθεί ότι τα προηγουμένως εκτελεσμένα ωφέλιμα φορτία συνεχίζουν να εκτελούνται στο παρασκήνιο, καθώς το κακόβουλο λογισμικό δεν τερματίζει προηγούμενες διεργασίες.

Ένα παρόμοιο kill switch που βασίζεται στο YouTube έχει επίσης παρατηρηθεί σε ένα δυαδικό αρχείο Trivy (έκδοση 0.69.4) που έχει υποστεί trojan, το οποίο επικοινωνεί με την ίδια υποδομή ICP μέσω ενός ξεχωριστού dropper Python.

Δυνατότητες σκουληκιών και αυτοματοποιημένη διάδοση

Αρχικά, η διάδοση βασιζόταν σε ένα χειροκίνητα εκτελούμενο σενάριο με το όνομα deploy.js, το οποίο αξιοποιούσε κλεμμένα διακριτικά ελέγχου ταυτότητας npm για την εισαγωγή κακόβουλου κώδικα σε προσβάσιμα πακέτα. Αυτό το σενάριο δεν ενεργοποιήθηκε κατά την εγκατάσταση, αλλά χρησίμευσε ως αυτόνομο εργαλείο για την επέκταση της εμβέλειας της επίθεσης.

Οι μεταγενέστερες παραλλαγές του CanisterWorm έχουν εξελιχθεί σημαντικά. Σε νεότερες εκδόσεις, όπως αυτές που βρίσκονται στο @teale.io/eslint-config (εκδόσεις 1.8.11 και 1.8.12), το worm ενσωματώνει την αυτοδιάδοση απευθείας στη διαδικασία εγκατάστασης του πακέτου. Ο ενημερωμένος μηχανισμός περιλαμβάνει:

  • Εξαγωγή διακριτικών ελέγχου ταυτότητας npm από το μολυσμένο περιβάλλον
  • Άμεση εκτέλεση της ρουτίνας διάδοσης ως αποσπασμένη διεργασία παρασκηνίου
  • Αυτοματοποιημένη δημοσίευση παραβιασμένων πακέτων χρησιμοποιώντας συλλεγμένα διαπιστευτήρια

Αυτή η μετατόπιση μετατρέπει την επίθεση από μια χειροκίνητη εκστρατεία σε ένα πλήρως αυτόνομο σύστημα διάδοσης.

Κλιμάκωση σε μια αυτοσυντηρούμενη απειλή για την εφοδιαστική αλυσίδα

Η εισαγωγή της αυτοματοποιημένης συλλογής διακριτικών και της αυτοδιάδοσης σηματοδοτεί μια κρίσιμη κλιμάκωση. Οποιοσδήποτε σταθμός εργασίας προγραμματιστή ή αγωγός CI/CD που εγκαθιστά ένα παραβιασμένο πακέτο και περιέχει προσβάσιμα διαπιστευτήρια npm γίνεται ενεργός κόμβος διάδοσης. Αυτό δημιουργεί ένα φαινόμενο αλυσιδωτής ροής στο οποίο τα μολυσμένα πακέτα οδηγούν σε περαιτέρω μολύνσεις σε όλες τις εξαρτήσεις κατάντη.

Σε αυτό το στάδιο, η απειλή εξελίσσεται πέρα από την παραβίαση μεμονωμένων λογαριασμών σε ένα αυτοσυντηρούμενο οικοσύστημα διανομής κακόβουλου λογισμικού. Κάθε πρόσφατα μολυσμένο περιβάλλον συμβάλλει στην εξάπλωση, επιτρέποντας την εκθετική ανάπτυξη και καθιστώντας τον περιορισμό του σημαντικά πιο δύσκολο.

Επιδεινώνοντας την ανησυχία, ο έλεγχος τεχνουργημάτων όπως ένα placeholder payload ('hello123') υποδεικνύει ότι οι εισβολείς βελτιώνουν και επικυρώνουν ενεργά την αλυσίδα επίθεσης πριν αναπτύξουν πλήρως λειτουργικά κακόβουλα δυαδικά αρχεία.

Τάσεις

IScans ψεύτικη απάτη ιχνηλάτησης κρυπτονομισμάτων

Απατεώνες Ιστότοποι, Κακόβουλο λογισμικό
Το διαδίκτυο προσφέρει αμέτρητα εργαλεία και υπηρεσίες που έχουν σχεδιαστεί για να διευκολύνουν τη διαχείριση ψηφιακών περιουσιακών στοιχείων. Ωστόσο, η ραγδαία ανάπτυξη των κρυπτονομισμάτων έχει...

Περισσότερες εμφανίσεις

Φόρτωση...