CanisterWorm मालवेयर

सुरुमा व्यापक रूपमा प्रयोग हुने ट्रिभी स्क्यानरलाई लक्षित गरी गरिएको परिष्कृत आपूर्ति श्रृंखला आक्रमणले धेरै npm प्याकेजहरूलाई असर गर्ने फराकिलो सम्झौतामा परिणत भएको छ। अभियानको पछाडि धम्की दिने अभिनेताहरूले क्यानिस्टरवर्म भनेर चिनिने पहिले कागजात नगरिएको स्व-प्रसार गर्ने किरा तैनाथ गरेको आशंका गरिएको छ, जसले घुसपैठको मात्रा र प्रभावलाई उल्लेखनीय रूपमा बढाएको छ।

यो मालवेयरको नाम इन्टरनेट कम्प्युटर प्रोटोकल (ICP) क्यानिस्टर, विकेन्द्रीकृत ब्लकचेनमा होस्ट गरिएको छेडछाड-प्रतिरोधी स्मार्ट अनुबंधहरूको प्रयोगबाट आएको हो, जुन यसको कमाण्ड पूर्वाधारको भागको रूपमा हो। यो कमाण्ड-एन्ड-कन्ट्रोल (C2) अन्त्य बिन्दुहरू पुन: प्राप्त गर्न हतियार प्रयोग गरिएको ICP क्यानिस्टरहरूको पहिलो सार्वजनिक रूपमा दस्तावेज गरिएको उदाहरण हो, जसले परम्परागत न्यूनीकरण प्रयासहरूलाई जटिल बनाउने नयाँ र लचिलो रणनीति प्रस्तुत गर्दछ।

सम्झौता गरिएका प्याकेजहरू र प्रारम्भिक पहुँच भेक्टर

आक्रमणले विभिन्न क्षेत्रहरूमा धेरै npm प्याकेजहरूलाई असर गरेको छ, जसले सफ्टवेयर आपूर्ति श्रृंखला भित्र फराकिलो ब्लास्ट रेडियस प्रदर्शन गरेको छ:

• @EmilGroup को दायरा अन्तर्गत २८ प्याकेजहरू
• @opengov दायरा अन्तर्गत १६ प्याकेजहरू
• @teale.io/eslint-config, @airtm/uuid-base32, र @pypestream/floating-ui-dom सहित थप प्याकेजहरू

यो अभियानले आक्रमणकारीहरूलाई ट्रिभी-सम्बन्धित उपकरणहरू, विशेष गरी ट्रिभी, ट्रिभी-एक्शन, र सेटअप-ट्रिभीको दुर्भावनापूर्ण संस्करणहरू प्रकाशित गर्न सक्षम बनाउने क्रेडेन्सियल सम्झौताको नजिकबाट अनुसरण गर्दछ, जसमा एम्बेडेड क्रेडेन्सियल-स्टिलिङ कार्यक्षमता समावेश थियो। यो अपरेशन क्लाउड-केन्द्रित साइबर अपराध समूहसँग जोडिएको विश्वास गरिन्छ जुन TeamPCP को रूपमा पहिचान गरिएको छ।

संक्रमण कार्यप्रवाह र विकेन्द्रीकृत आदेश पूर्वाधार

संक्रमण श्रृंखला npm प्याकेज स्थापना प्रक्रियाको क्रममा सुरु हुन्छ, जहाँ पोस्टइन्स्टल स्क्रिप्टले लोडर कार्यान्वयन गर्छ। यो लोडरले ICP क्यानिस्टरसँग सञ्चार गर्न डिजाइन गरिएको पाइथन-आधारित ब्याकडोर तैनाथ गर्छ। क्यानिस्टरले डेड ड्रप रिजल्भरको रूपमा काम गर्छ, जसले संक्रमित प्रणालीलाई अर्को चरणको पेलोड डाउनलोड गर्न र कार्यान्वयन गर्न निर्देशन दिने URL फर्काउँछ।

ICP पूर्वाधारको विकेन्द्रीकृत प्रकृतिले आक्रमणकारीहरूलाई महत्त्वपूर्ण फाइदा प्रदान गर्दछ। क्यानिस्टरले पेलोड URL लाई गतिशील रूपमा अद्यावधिक गर्न सक्ने भएकोले, खतरा अभिनेताहरूले तैनाथ गरिएको मालवेयरलाई परिमार्जन नगरी सबै संक्रमित प्रणालीहरूमा नयाँ दुर्भावनापूर्ण बाइनरीहरू वितरण गर्न सक्छन्। यो वास्तुकलाले टेकडाउन प्रयासहरूलाई पनि धेरै चुनौतीपूर्ण बनाउँछ।

दृढता संयन्त्र र चुपचाप प्रविधिहरू

दुर्भावनापूर्ण प्रक्रियालाई स्वचालित रूपमा पुन: सुरु गर्न कन्फिगर गरिएको systemd प्रयोगकर्ता सेवाको सिर्जना मार्फत दृढता प्राप्त गरिन्छ। मुख्य विशेषताहरूमा समावेश छन्:

• Restart=always निर्देशन मार्फत स्वचालित पुन: सुरु लागू गरियो
• यदि बन्द गरियो भने ब्याकडोर पुन: सुरु गर्नु अघि ५ सेकेन्ड ढिलाइ
• 'pgmon' नाम अन्तर्गत सेवालाई वैध PostgreSQL अनुगमन सफ्टवेयरको रूपमा लुकाउने

यो दृष्टिकोणले वैध प्रणाली सेवाहरूसँग मिसाएर पत्ता लगाउने सम्भावनालाई कम गर्दै निरन्तर सञ्चालन सुनिश्चित गर्दछ।

अनुकूलनीय पेलोड डेलिभरी र किल स्विच व्यवहार

शंकाबाट बच्नको लागि ब्याकडोरले आवधिक रूपमा प्रत्येक ५० मिनेटमा ICP क्यानिस्टरसँग सम्पर्क गर्दछ, नक्कली ब्राउजर प्रयोगकर्ता-एजेन्ट प्रयोग गरेर। फिर्ता गरिएको URL ले अर्को कार्य निर्धारण गर्दछ:

• यदि URL ले मान्य पेलोडलाई औंल्याउँछ भने, मालवेयरले यसलाई डाउनलोड र कार्यान्वयन गर्छ।
• यदि URL मा 'youtube.com' छ भने, मालवेयर निष्क्रिय अवस्थामा प्रवेश गर्छ।

यो संयन्त्रले प्रभावकारी रूपमा रिमोट किल स्विचको रूपमा काम गर्दछ। एक सौम्य YouTube लिङ्क र एक मालिसियस पेलोड बीच क्यानिस्टरको URL टगल गरेर, आक्रमणकारीले सबै संक्रमित प्रणालीहरूमा मालवेयर सक्रिय वा निष्क्रिय गर्न सक्छ। उल्लेखनीय रूपमा, पहिले निष्पादित पेलोडहरू पृष्ठभूमिमा चलिरहन्छन्, किनकि मालवेयरले पहिलेका प्रक्रियाहरू समाप्त गर्दैन।

यस्तै प्रकारको युट्युब-आधारित किल स्विच ट्रोजनाइज्ड ट्रिभी बाइनरी (संस्करण ०.६९.४) मा पनि अवलोकन गरिएको छ, जसले छुट्टै पाइथन ड्रपर मार्फत उही ICP पूर्वाधारसँग सञ्चार गर्दछ।

किराको क्षमता र स्वचालित प्रसार

सुरुमा, प्रसारण deploy.js नामक म्यानुअली कार्यान्वयन गरिएको स्क्रिप्टमा निर्भर थियो, जसले पहुँचयोग्य प्याकेजहरूमा दुर्भावनापूर्ण कोड इन्जेक्ट गर्न चोरी गरिएको npm प्रमाणीकरण टोकनहरूको लाभ उठाउँथ्यो। यो स्क्रिप्ट स्थापनाको समयमा ट्रिगर गरिएको थिएन तर आक्रमणको पहुँच विस्तार गर्न एक स्ट्यान्डअलोन उपकरणको रूपमा काम गर्‍यो।

CanisterWorm का पछिल्ला संस्करणहरू उल्लेखनीय रूपमा विकसित भएका छन्। @teale.io/eslint-config (संस्करण १.८.११ र १.८.१२) मा पाइने जस्ता नयाँ संस्करणहरूमा, वर्मले प्याकेजको स्थापना प्रक्रियामा सिधै स्व-प्रसारलाई समावेश गर्दछ। अद्यावधिक गरिएको संयन्त्रमा समावेश छ:

• संक्रमित वातावरणबाट npm प्रमाणीकरण टोकनहरूको निकासी
• पृथक पृष्ठभूमि प्रक्रियाको रूपमा प्रसार दिनचर्याको तत्काल कार्यान्वयन
• कटाई गरिएका प्रमाणहरू प्रयोग गरेर सम्झौता गरिएका प्याकेजहरूको स्वचालित प्रकाशन

यो परिवर्तनले आक्रमणलाई म्यानुअल रूपमा सञ्चालित अभियानबाट पूर्ण स्वायत्त प्रसार प्रणालीमा रूपान्तरण गर्दछ।

आत्मनिर्भर आपूर्ति श्रृंखला खतरामा वृद्धि

स्वचालित टोकन कटाई र स्व-प्रसारको परिचयले एउटा महत्वपूर्ण वृद्धिलाई चिन्ह लगाउँछ। कुनै पनि विकासकर्ता कार्यस्थान वा CI/CD पाइपलाइन जसले सम्झौता गरिएको प्याकेज स्थापना गर्दछ र पहुँचयोग्य npm प्रमाणहरू समावेश गर्दछ, एक सक्रिय प्रसार नोड बन्छ। यसले एक क्यास्केडिङ प्रभाव सिर्जना गर्दछ जसमा संक्रमित प्याकेजहरूले डाउनस्ट्रीम निर्भरताहरूमा थप संक्रमणहरू निम्त्याउँछ।

यस चरणमा, खतरा पृथक खाता सम्झौताभन्दा बाहिर मालवेयर वितरणको आत्म-निर्भर पारिस्थितिक प्रणालीमा विकसित हुन्छ। प्रत्येक नयाँ संक्रमित वातावरणले फैलावटमा योगदान पुर्‍याउँछ, जसले घातीय वृद्धिलाई सक्षम बनाउँछ र नियन्त्रणलाई उल्लेखनीय रूपमा अझ गाह्रो बनाउँछ।

चिन्तालाई अझ जटिल बनाउँदै, प्लेसहोल्डर पेलोड ('hello123') जस्ता कलाकृतिहरूको परीक्षणले संकेत गर्दछ कि आक्रमणकारीहरूले पूर्ण रूपमा सञ्चालन हुने दुर्भावनापूर्ण बाइनरीहरू तैनाथ गर्नु अघि आक्रमण श्रृंखलालाई सक्रिय रूपमा परिष्कृत र प्रमाणित गरिरहेका छन्।