CanisterWorm मैलवेयर

व्यापक रूप से उपयोग किए जाने वाले ट्रिवी स्कैनर को निशाना बनाकर शुरू किया गया एक परिष्कृत आपूर्ति श्रृंखला हमला अब कई एनपीएम पैकेजों को प्रभावित करने वाले एक व्यापक हमले में तब्दील हो गया है। इस अभियान के पीछे के हमलावरों पर कैनिस्टरवर्म नामक एक अज्ञात, स्व-प्रसारित वर्म को तैनात करने का संदेह है, जिससे घुसपैठ का पैमाना और प्रभाव काफी बढ़ गया है।

इस मैलवेयर का नाम इसके कमांड इंफ्रास्ट्रक्चर के हिस्से के रूप में इंटरनेट कंप्यूटर प्रोटोकॉल (आईसीपी) कैनिस्टर, यानी विकेन्द्रीकृत ब्लॉकचेन पर होस्ट किए गए छेड़छाड़-प्रतिरोधी स्मार्ट कॉन्ट्रैक्ट्स के उपयोग से लिया गया है। यह कमांड-एंड-कंट्रोल (सी2) एंडपॉइंट्स को प्राप्त करने के लिए आईसीपी कैनिस्टर को हथियार के रूप में इस्तेमाल किए जाने का पहला सार्वजनिक रूप से प्रलेखित उदाहरण है, जो एक नवीन और मजबूत रणनीति पेश करता है और पारंपरिक रोकथाम प्रयासों को जटिल बनाता है।

समझौता किए गए पैकेज और प्रारंभिक पहुंच वेक्टर

इस हमले ने विभिन्न क्षेत्रों में फैले कई एनपीएम पैकेजों को प्रभावित किया है, जो सॉफ्टवेयर आपूर्ति श्रृंखला के भीतर एक व्यापक प्रभाव क्षेत्र को दर्शाता है:

• @EmilGroup के दायरे में 28 पैकेज
• @opengov के दायरे में 16 पैकेज
• अतिरिक्त पैकेज जिनमें @teale.io/eslint-config, @airtm/uuid-base32 और @pypestream/floating-ui-dom शामिल हैं।

यह अभियान क्रेडेंशियल उल्लंघन की घटना के तुरंत बाद शुरू हुआ है, जिसके कारण हमलावरों ने ट्रिवी से संबंधित टूल, विशेष रूप से ट्रिवी, ट्रिवी-एक्शन और सेटअप-ट्रिवी के दुर्भावनापूर्ण संस्करण प्रकाशित किए, जिनमें क्रेडेंशियल चुराने की क्षमता अंतर्निहित थी। माना जाता है कि यह ऑपरेशन क्लाउड-केंद्रित साइबर अपराधी समूह टीमपीसीपी से जुड़ा हुआ है।

संक्रमण कार्यप्रवाह और विकेन्द्रीकृत कमांड अवसंरचना

संक्रमण की शुरुआत npm पैकेज इंस्टॉलेशन प्रक्रिया के दौरान होती है, जहां एक पोस्टइंस्टॉल स्क्रिप्ट लोडर को निष्पादित करती है। यह लोडर ICP कैनिस्टर के साथ संचार करने के लिए डिज़ाइन किया गया एक पायथन-आधारित बैकडोर तैनात करता है। कैनिस्टर एक डेड ड्रॉप रिजॉल्वर के रूप में कार्य करता है, जो एक URL लौटाता है जो संक्रमित सिस्टम को अगले चरण के पेलोड को डाउनलोड और निष्पादित करने के लिए निर्देशित करता है।

आईसीपी इंफ्रास्ट्रक्चर की विकेंद्रीकृत प्रकृति हमलावरों को महत्वपूर्ण लाभ प्रदान करती है। चूंकि कैनिस्टर पेलोड यूआरएल को गतिशील रूप से अपडेट कर सकता है, इसलिए हमलावर तैनात मैलवेयर को संशोधित किए बिना सभी संक्रमित सिस्टमों में नए दुर्भावनापूर्ण बाइनरी वितरित कर सकते हैं। यह आर्किटेक्चर मैलवेयर को नष्ट करने के प्रयासों को भी काफी चुनौतीपूर्ण बना देता है।

निरंतरता तंत्र और गुप्त तकनीकें

दुर्भावनापूर्ण प्रक्रिया को स्वचालित रूप से पुनः आरंभ करने के लिए कॉन्फ़िगर की गई systemd उपयोगकर्ता सेवा बनाकर निरंतरता प्राप्त की जाती है। प्रमुख विशेषताओं में शामिल हैं:

• Restart=always निर्देश के माध्यम से स्वचालित रीस्टार्ट लागू किया जाता है।
• यदि बैकडोर बंद हो जाता है, तो उसे पुनः लॉन्च करने से पहले 5 सेकंड का विलंब होगा।
• इस सेवा को 'pgmon' नाम से वैध PostgreSQL मॉनिटरिंग सॉफ़्टवेयर के रूप में छिपाना।

यह दृष्टिकोण वैध सिस्टम सेवाओं के साथ घुलमिलकर पता लगने की संभावना को कम करते हुए निरंतर संचालन सुनिश्चित करता है।

अनुकूली पेलोड वितरण और किल स्विच व्यवहार

यह बैकडोर हर 50 मिनट में एक नकली ब्राउज़र यूजर-एजेंट का उपयोग करके ICP कैनिस्टर के साथ नियमित रूप से संचार करता है ताकि संदेह से बचा जा सके। प्राप्त URL अगले चरण की कार्रवाई निर्धारित करता है।

• यदि यूआरएल किसी वैध पेलोड की ओर इंगित करता है, तो मैलवेयर उसे डाउनलोड करके निष्पादित करता है।
• यदि URL में 'youtube.com' शामिल है, तो मैलवेयर निष्क्रिय अवस्था में चला जाता है।

यह तंत्र प्रभावी रूप से रिमोट किल स्विच का काम करता है। हमलावर मैलवेयर के URL को एक हानिरहित YouTube लिंक और एक दुर्भावनापूर्ण पेलोड के बीच बदलकर, सभी संक्रमित सिस्टमों पर मैलवेयर को सक्रिय या निष्क्रिय कर सकता है। खास बात यह है कि पहले से निष्पादित पेलोड पृष्ठभूमि में चलते रहते हैं, क्योंकि मैलवेयर पहले की प्रक्रियाओं को समाप्त नहीं करता है।

एक समान यूट्यूब-आधारित किल स्विच को ट्रोजन से संक्रमित ट्रिवी बाइनरी (संस्करण 0.69.4) में भी देखा गया है, जो एक अलग पायथन ड्रॉपर के माध्यम से उसी आईसीपी इन्फ्रास्ट्रक्चर के साथ संचार करता है।

वर्म की क्षमताएं और स्वचालित प्रसार

शुरुआत में, प्रसार deploy.js नामक एक मैन्युअल रूप से निष्पादित स्क्रिप्ट पर निर्भर था, जिसने चोरी किए गए npm प्रमाणीकरण टोकन का उपयोग करके सुलभ पैकेजों में दुर्भावनापूर्ण कोड इंजेक्ट किया। यह स्क्रिप्ट इंस्टॉलेशन के दौरान ट्रिगर नहीं हुई थी, बल्कि हमले की पहुंच बढ़ाने के लिए एक स्वतंत्र उपकरण के रूप में कार्य करती थी।

कैनिस्टरवर्म के बाद के संस्करणों में काफी विकास हुआ है। नए संस्करणों में, जैसे कि @teale.io/eslint-config (संस्करण 1.8.11 और 1.8.12) में पाए जाने वाले संस्करणों में, यह वर्म पैकेज की स्थापना प्रक्रिया में ही स्व-प्रसार को शामिल कर लेता है। अद्यतन तंत्र में निम्नलिखित शामिल हैं:

• संक्रमित वातावरण से npm प्रमाणीकरण टोकन निकालना
• प्रसार प्रक्रिया का तत्काल निष्पादन एक पृथक पृष्ठभूमि प्रक्रिया के रूप में।
• एकत्रित क्रेडेंशियल्स का उपयोग करके समझौता किए गए पैकेजों का स्वचालित प्रकाशन

इस बदलाव से हमला मैन्युअल रूप से संचालित अभियान से बदलकर पूरी तरह से स्वायत्त प्रसार प्रणाली में परिवर्तित हो जाता है।

एक आत्मनिर्भर आपूर्ति श्रृंखला खतरे में वृद्धि

स्वचालित टोकन संचयन और स्व-प्रसार की शुरुआत एक गंभीर समस्या का संकेत है। कोई भी डेवलपर वर्कस्टेशन या CI/CD पाइपलाइन जो किसी संक्रमित पैकेज को इंस्टॉल करती है और जिसमें सुलभ npm क्रेडेंशियल होते हैं, एक सक्रिय प्रसार नोड बन जाती है। इससे एक श्रृंखलात्मक प्रभाव उत्पन्न होता है जिसमें संक्रमित पैकेज आगे चलकर अन्य निर्भरताओं में संक्रमण फैलाते हैं।

इस चरण में, खतरा केवल कुछ खातों के गोपनीय रूप से प्रभावित होने तक सीमित नहीं रहता, बल्कि मैलवेयर वितरण के एक स्व-संचालित पारिस्थितिकी तंत्र में परिवर्तित हो जाता है। प्रत्येक नया संक्रमित वातावरण इसके प्रसार में योगदान देता है, जिससे इसकी वृद्धि तेजी से होती है और इसे नियंत्रित करना काफी मुश्किल हो जाता है।

चिंता को और बढ़ाते हुए, 'हेलो123' जैसे प्लेसहोल्डर पेलोड जैसे परीक्षण कलाकृतियों से संकेत मिलता है कि हमलावर पूरी तरह से काम करने वाले दुर्भावनापूर्ण बाइनरी को तैनात करने से पहले हमले की श्रृंखला को सक्रिय रूप से परिष्कृत और मान्य कर रहे हैं।