הצעת הנחה מרובה רישיונות
מסד נתונים של איומים תוכנה זדונית תוכנה זדונית של CanisterWorm

תוכנה זדונית של CanisterWorm

עד Mezo ב-תוכנה זדונית, תוֹלַעִים
לתרגם ל:

מתקפה מתוחכמת על שרשרת האספקה, שכוונה בתחילה לסורק Trivy הנפוץ, הסלימה לפגיעה רחבה יותר המשפיעה על חבילות npm רבות. גורמי האיום העומדים מאחורי הקמפיין חשודים בפריסת תולעת מתפשטת עצמית, שלא תועדה בעבר, המכונה CanisterWorm, מה שהגדיל משמעותית את היקף והשפעת הפריצה.

נוזקת זו נובעת משמה משימושה במיכל של פרוטוקול מחשב אינטרנט (ICP), חוזים חכמים עמידים בפני פגיעה המאוחסנים על גבי בלוקצ'יין מבוזר, כחלק מתשתית הפיקוד שלה. זהו המקרה המתועד הראשון בפומבי של שימוש במיכלי ICP כדי לאחזר נקודות קצה של פיקוד ובקרה (C2), ומציג טקטיקה חדשה ועמידה שמסבכת את מאמצי הפחתה מסורתיים.

חבילות שנפגעו ווקטור גישה ראשוני

ההתקפה השפיעה על מספר חבילות npm בהיקפים שונים, מה שמדגים רדיוס פיצוץ רחב בתוך שרשרת האספקה של התוכנה:

  • 28 חבילות תחת תחום @EmilGroup
  • 16 חבילות תחת תחום @opengov
  • חבילות נוספות כולל @teale.io/eslint-config, @airtm/uuid-base32, ו-@pypestream/floating-ui-dom

קמפיין זה מגיע מיד לאחר פריצת אישורים שאפשרה לתוקפים לפרסם גרסאות זדוניות של כלים הקשורים ל-Trivy, במיוחד trivy, trivy-action ו-setup-trivy, שהכילו פונקציונליות משובצת לגניבת אישורים. ההערכה היא שהפעולה קשורה לקבוצת פושעי סייבר המתמקדת בענן המזוהה בשם TeamPCP.

זרימת עבודה של זיהומים ותשתית פיקוד מבוזרת

שרשרת ההדבקה מתחילה במהלך תהליך התקנת חבילת npm, כאשר סקריפט postinstall מבצע טוען. טוען זה פורס דלת אחורית מבוססת Python שנועדה לתקשר עם מיכל ה-ICP. המיכל פועל כמתקן dead drop, ומחזיר כתובת URL המכוונת את המערכת הנגועה להוריד ולהפעיל את המטען של השלב הבא.

האופי המבוזר של תשתית ה-ICP מספק יתרון משמעותי לתוקפים. מכיוון שה-canister יכול לעדכן באופן דינמי את כתובת ה-URL של המטען, גורמי איום יכולים להפיץ קבצים בינאריים זדוניים חדשים בכל המערכות הנגועות מבלי לשנות את התוכנה הזדונית שנפרסה עצמה. ארכיטקטורה זו גם הופכת את מאמצי ההסרה למאתגרים משמעותית.

מנגנון ההתמדה וטכניקות התגנבות

התמדה מושגת באמצעות יצירת שירות משתמש systemd שתצורתו מוגדרת להפעיל מחדש אוטומטית את התהליך הזדוני. מאפיינים עיקריים כוללים:

  • הפעלה מחדש אוטומטית נאכפת באמצעות הפקודה Restart=always
  • עיכוב של 5 שניות לפני הפעלה מחדש של הדלת האחורית אם היא נסגרת
  • הסוואת השירות כתוכנת ניטור PostgreSQL לגיטימית תחת השם 'pgmon'

גישה זו מבטיחה פעולה רציפה תוך מזעור הסבירות לגילוי על ידי שילוב עם שירותי מערכת לגיטימיים.

אספקת מטען אדפטיבית והתנהגות מתג כיבוי

הדלת האחורית מתקשרת מעת לעת עם מיכל ה-ICP כל 50 דקות, באמצעות סוכן משתמש מזויף של דפדפן כדי למנוע חשד. כתובת ה-URL המוחזרת קובעת את הפעולה הבאה:

  • אם כתובת ה-URL מפנה למטען תקין, התוכנה הזדונית הורידה ומבצעת אותו
  • אם כתובת האתר מכילה את 'youtube.com', התוכנה הזדונית נכנסת למצב רדום

מנגנון זה משמש למעשה כמתג השבתה מרחוק. על ידי החלפת כתובת ה-URL של המיכל בין קישור שפיר ליוטיוב לבין מטען זדוני, התוקף יכול להפעיל או להשבית את התוכנה הזדונית בכל המערכות הנגועות. ראוי לציין כי מטענים שבוצעו בעבר ממשיכים לפעול ברקע, מכיוון שהתוכנה הזדונית אינה מסיימת תהליכים קודמים.

מתג השבתה דומה מבוסס יוטיוב נצפה גם בקובץ בינארי של Trivy מושפע מטרויאני (גרסה 0.69.4), אשר מתקשר עם אותה תשתית ICP באמצעות תוכנת פייתון נפרדת.

יכולות תולעים והפצה אוטומטית

בתחילה, ההפצה הסתמכה על סקריפט שהופעל ידנית בשם deploy.js, אשר מינף אסימוני אימות npm גנובים כדי להחדיר קוד זדוני לחבילות נגישות. סקריפט זה לא הופעל במהלך ההתקנה אלא שימש ככלי עצמאי להרחבת טווח ההתקפה.

גרסאות מאוחרות יותר של CanisterWorm התפתחו באופן משמעותי. בגרסאות חדשות יותר, כמו אלו שנמצאות ב-@teale.io/eslint-config (גרסאות 1.8.11 ו-1.8.12), התולעת משלבת ריבוי עצמי ישירות בתהליך ההתקנה של החבילה. המנגנון המעודכן כולל:

  • חילוץ אסימוני אימות npm מהסביבה הנגועה
  • ביצוע מיידי של שגרת ההפצה כתהליך רקע מנותק
  • פרסום אוטומטי של חבילות שנפרצו באמצעות אישורים שנאספו

שינוי זה הופך את ההתקפה מקמפיין המופעל ידנית למערכת התפשטות אוטונומית לחלוטין.

הסלמה לאיום שרשרת אספקה מתקיים

הכנסת קצירת אסימונים אוטומטית והפצה עצמית מסמנת הסלמה קריטית. כל תחנת עבודה של מפתחים או צינור CI/CD שמתקינה חבילה פרוצה ומכילה אישורי npm נגישים הופכת לצומת הפצה פעיל. זה יוצר אפקט מדורג שבו חבילות נגועות מובילות להדבקות נוספות על פני תלויות במורד הזרם.

בשלב זה, האיום מתפתח מעבר לפגיעה בחשבונות מבודדים למערכת אקולוגית בת קיימא של הפצת תוכנות זדוניות. כל סביבה נגועה חדשה תורמת להתפשטות, מה שמאפשר צמיחה אקספוננציאלית ומקשה משמעותית על בלימתה.

מה שמחמיר את החשש, בדיקת ארטיפקטים כגון מטען placeholder ('hello123') מצביעה על כך שהתוקפים מטפלים ומאמתים באופן פעיל את שרשרת ההתקפה לפני פריסת קבצים בינאריים זדוניים פעילים במלואם.

מגמות

הכי נצפה

טוען...