CanisterWorm kártevő
Egy kifinomult ellátási lánc támadás, amely kezdetben a széles körben használt Trivy szkennert vette célba, egy szélesebb körű, számos npm csomagot érintő kompromittálódássá fajult. A kampány mögött álló kiberfenyegetőket egy korábban nem dokumentált, CanisterWorm néven ismert önmagát terjedő féreg telepítésével gyanúsítják, jelentősen növelve a behatolás mértékét és hatását.
A rosszindulatú program nevét onnan kapta, hogy parancsinfrastruktúrája részeként egy Internet Computer Protocol (ICP) tartályt, azaz manipulációbiztos intelligens szerződéseket használ, amelyek egy decentralizált blokkláncon futnak. Ez az első nyilvánosan dokumentált eset, amikor ICP tartályokat fegyverként használtak a Command-and-Control (C2) végpontok lekérésére, egy újszerű és ellenálló taktikát bevezetve, amely bonyolítja a hagyományos mérséklési erőfeszítéseket.
Tartalomjegyzék
Feltört csomagok és kezdeti hozzáférési vektor
A támadás több npm csomagot is érintett különböző hatókörben, ami széles hatókörű elterjedést mutat a szoftverellátási láncon belül:
- 28 csomag az @EmilGroup hatókörében
- 16 csomag az @opengov hatókörében
- További csomagok, többek között a @teale.io/eslint-config, @airtm/uuid-base32 és @pypestream/floating-ui-dom
Ez a kampány szorosan egy hitelesítő adatokkal való feltörését követi, amely lehetővé tette a támadók számára, hogy a Trivy-hez kapcsolódó eszközök, konkrétan a trivy, a trivy-action és a setup-trivy rosszindulatú verzióit tegyék közzé, amelyek beágyazott hitelesítő adatok ellopására szolgáló funkciókat tartalmaztak. A művelet feltehetően egy felhőalapú kiberbűnözői csoporthoz, a TeamPCP-hez kapcsolódik.
Fertőzéses munkafolyamat és decentralizált parancsnoki infrastruktúra
A fertőzési lánc az npm csomag telepítési folyamata során kezdődik, ahol egy telepítés utáni szkript végrehajt egy betöltőt. Ez a betöltő egy Python-alapú hátsó ajtót helyez el, amely az ICP-tárolóval való kommunikációra szolgál. A tároló egyfajta hibajavító feloldóként működik, és egy olyan URL-t ad vissza, amely a fertőzött rendszert a következő szintű hasznos adat letöltésére és végrehajtására utasítja.
Az ICP infrastruktúra decentralizált jellege jelentős előnyt biztosít a támadóknak. Mivel a kaniszter dinamikusan frissítheti a hasznos URL-t, a fenyegető szereplők új rosszindulatú bináris fájlokat terjeszthetnek az összes fertőzött rendszeren anélkül, hogy magát a telepített rosszindulatú programot módosítanák. Ez az architektúra a törlési erőfeszítéseket is jelentősen megnehezíti.
Kitartási mechanizmus és lopakodó technikák
A perzisztencia egy systemd felhasználói szolgáltatás létrehozásával érhető el, amely úgy van konfigurálva, hogy automatikusan újraindítsa a rosszindulatú folyamatot. A főbb jellemzők a következők:
- Automatikus újraindítás a Restart=always direktíva által kikényszerítve
- 5 másodperces késleltetés a hátsó ajtó újraindítása előtt, ha a rendszer leáll.
- A szolgáltatás álcázása legitim PostgreSQL monitorozó szoftverként „pgmon” néven
Ez a megközelítés folyamatos működést biztosít, miközben minimalizálja az észlelés valószínűségét azáltal, hogy beolvad a legitim rendszerszolgáltatásokba.
Adaptív hasznos teher leadás és kill switch viselkedés
A hátsó ajtó 50 percenként kommunikál az ICP-tartállyal, egy hamis böngésző felhasználói ügynököt használva a gyanú elkerülése érdekében. A visszaadott URL határozza meg a következő műveletet:
- Ha az URL érvényes hasznos fájlra mutat, a kártevő letölti és végrehajtja azt.
- Ha az URL tartalmazza a „youtube.com” címet, a rosszindulatú program alvó állapotba kerül.
Ez a mechanizmus gyakorlatilag távoli kill switchként szolgál. A kaniszter URL-címének egy jóindulatú YouTube-link és egy rosszindulatú hasznos adat között való átkapcsolásával a támadó aktiválhatja vagy deaktiválhatja a rosszindulatú programot az összes fertőzött rendszeren. Fontos megjegyezni, hogy a korábban végrehajtott hasznos adatok továbbra is futnak a háttérben, mivel a rosszindulatú program nem állítja le a korábbi folyamatokat.
Egy hasonló YouTube-alapú kill switch jelenséget figyeltek meg egy trójai vírussal fertőzött Trivy bináris fájlban (0.69.4-es verzió), amely ugyanazzal az ICP infrastruktúrával kommunikál egy külön Python dropperen keresztül.
Féregképességek és automatizált szaporítás
A terjedés kezdetben egy manuálisan futtatott, deploy.js nevű szkriptre támaszkodott, amely ellopott npm hitelesítési tokeneket használt fel rosszindulatú kód beillesztésére az elérhető csomagokba. Ez a szkript nem a telepítés során indult el, hanem önálló eszközként szolgált a támadás hatókörének kiterjesztésére.
A CanisterWorm későbbi változatai jelentősen fejlődtek. Az újabb verziókban, mint például a @teale.io/eslint-config fájlban találhatóak (1.8.11 és 1.8.12 verziók), a féreg közvetlenül beépíti az önterjedést a csomag telepítési folyamatába. A frissített mechanizmus a következőket tartalmazza:
- Npm hitelesítési tokenek kinyerése a fertőzött környezetből
- A propagációs rutin azonnali végrehajtása különálló háttérfolyamatként
- Feltört csomagok automatikus közzététele begyűjtött hitelesítő adatok felhasználásával
Ez a váltás a támadást egy manuálisan irányított kampányból egy teljesen autonóm terjedési rendszerré alakítja át.
Az eszkaláció önfenntartó ellátási lánccá válása
Az automatizált tokenek begyűjtésének és önterjesztésének bevezetése kritikus eszkalációt jelent. Bármely fejlesztői munkaállomás vagy CI/CD-folyamat, amely feltört csomagot telepít, és hozzáférhető npm hitelesítő adatokat tartalmaz, aktív terjesztési csomóponttá válik. Ez egy kaszkádhatást hoz létre, amelyben a fertőzött csomagok további fertőzésekhez vezetnek a későbbi függőségeken keresztül.
Ebben a szakaszban a fenyegetés az elszigetelt fiókok feltörésén túl egy önfenntartó rosszindulatú programterjesztési ökoszisztémává fejlődik. Minden újonnan fertőzött környezet hozzájárul a terjedéshez, lehetővé téve az exponenciális növekedést és jelentősen megnehezítve az elszigetelést.
Az aggodalmat tovább súlyosbítja, hogy a tesztelés során olyan elemek, mint egy helyőrző hasznos adat („hello123”), azt jelzik, hogy a támadók aktívan finomítják és validálják a támadási láncot, mielőtt teljesen működőképes rosszindulatú bináris fájlokat telepítenének.
