Programe malware CanisterWorm
Un atac sofisticat asupra lanțului de aprovizionare, care inițial viza scanerul Trivy, utilizat pe scară largă, a escaladat într-o compromitere mai amplă care afectează numeroase pachete npm. Actorii amenințători din spatele campaniei sunt suspectați că au implementat un vierme auto-propagator nedocumentat anterior, cunoscut sub numele de CanisterWorm, crescând semnificativ amploarea și impactul intruziunii.
Malware-ul își derivă numele de la utilizarea unui canister ICP (Internet Computer Protocol), contracte inteligente rezistente la manipulare găzduite pe un blockchain descentralizat, ca parte a infrastructurii sale de comandă. Aceasta marchează prima instanță documentată public în care canistrele ICP sunt folosite ca armă pentru a recupera puncte finale de comandă și control (C2), introducând o tactică nouă și rezistentă care complică eforturile tradiționale de atenuare.
Cuprins
Pachete compromise și vector de acces inițial
Atacul a afectat mai multe pachete npm în domenii diferite, demonstrând o rază largă de acțiune în cadrul lanțului de aprovizionare cu software:
- 28 de pachete în domeniul de aplicare @EmilGroup
- 16 pachete sub incidența @opengov
- Pachete suplimentare, inclusiv @teale.io/eslint-config, @airtm/uuid-base32 și @pypestream/floating-ui-dom
Această campanie vine îndeaproape după o compromitere a acreditărilor care a permis atacatorilor să publice versiuni rău intenționate ale instrumentelor legate de Trivy, în special trivy, trivy-action și setup-trivy, care conțineau funcționalități încorporate de furt de acreditări. Se crede că operațiunea este legată de un grup de infractori cibernetici axat pe cloud, identificat sub numele de TeamPCP.
Flux de lucru pentru infecții și infrastructură de comandă descentralizată
Lanțul de infectare începe în timpul procesului de instalare a pachetului npm, unde un script postinstalare execută un încărcător (loader). Acest încărcător implementează un backdoor bazat pe Python, conceput pentru a comunica cu canisterul ICP. Canisterul acționează ca un rezolver dead-drop, returnând o adresă URL care direcționează sistemul infectat să descarce și să execute sarcina utilă din etapa următoare.
Natura descentralizată a infrastructurii ICP oferă un avantaj semnificativ atacatorilor. Întrucât canisterul poate actualiza dinamic adresa URL a sarcinii utile, actorii amenințători pot distribui noi fișiere binare malițioase în toate sistemele infectate fără a modifica malware-ul implementat în sine. Această arhitectură face, de asemenea, eforturile de eliminare considerabil mai dificile.
Mecanismul de persistență și tehnicile de stealth
Persistența se obține prin crearea unui serviciu utilizator systemd configurat să repornească automat procesul rău intenționat. Caracteristicile cheie includ:
- Repornire automată impusă prin directiva Restart=always
- O întârziere de 5 secunde înainte de relansarea backdoor-ului dacă este terminat
- Deghizarea serviciului ca software legitim de monitorizare PostgreSQL sub numele „pgmon”
Această abordare asigură funcționarea continuă, reducând în același timp probabilitatea de detectare prin integrarea cu serviciile de sistem legitime.
Livrarea adaptivă a sarcinii utile și comportamentul întrerupătorului de oprire
Backdoor-ul comunică periodic cu canisterul ICP la fiecare 50 de minute, folosind un User-Agent de browser falsificat pentru a evita suspiciunile. URL-ul returnat determină următoarea acțiune:
- Dacă URL-ul indică o sarcină validă, malware-ul o descarcă și o execută.
- Dacă adresa URL conține „youtube.com”, malware-ul intră într-o stare inactivă.
Acest mecanism servește practic ca un kill switch de la distanță. Prin comutarea adresei URL a canisterului între un link YouTube benign și o sarcină utilă malițioasă, atacatorul poate activa sau dezactiva malware-ul pe toate sistemele infectate. În special, sarcinele utilă executate anterior continuă să ruleze în fundal, deoarece malware-ul nu termină procesele anterioare.
Un kill switch similar bazat pe YouTube a fost observat și într-un fișier binar Trivy troianizat (versiunea 0.69.4), care comunică cu aceeași infrastructură ICP printr-un dropper Python separat.
Capacități de viermi și propagare automată
Inițial, propagarea se baza pe un script executat manual, numit deploy.js, care utiliza token-uri de autentificare npm furate pentru a injecta cod malițios în pachetele accesibile. Acest script nu era declanșat în timpul instalării, ci servea ca instrument independent pentru a extinde raza de acțiune a atacului.
Variantele ulterioare ale CanisterWorm au evoluat semnificativ. În versiunile mai noi, cum ar fi cele găsite în @teale.io/eslint-config (versiunile 1.8.11 și 1.8.12), viermele încorporează autopropagarea direct în procesul de instalare al pachetului. Mecanismul actualizat include:
- Extragerea token-urilor de autentificare npm din mediul infectat
- Executarea imediată a rutinei de propagare ca proces de fundal detașat
- Publicarea automată a pachetelor compromise folosind acreditările colectate
Această schimbare transformă atacul dintr-o campanie operată manual într-un sistem de propagare complet autonom.
Escaladarea într-o amenințare la adresa lanțului de aprovizionare autosustenabil
Introducerea recoltării automate de token-uri și a autopropagării marchează o escaladare critică. Orice stație de lucru de dezvoltator sau canal CI/CD care instalează un pachet compromis și conține acreditări npm accesibile devine un nod de propagare activ. Acest lucru creează un efect de cascadă în care pachetele infectate duc la infecții suplimentare în dependențele din aval.
În această etapă, amenințarea evoluează dincolo de compromiterea izolată a contului, devenind un ecosistem autosustenabil de distribuție a programelor malware. Fiecare mediu nou infectat contribuie la răspândire, permițând o creștere exponențială și îngreunând semnificativ izolarea.
Îngrijorarea este agravată de faptul că testarea artefactelor, cum ar fi o utilă substituentă („hello123”), indică faptul că atacatorii rafinează și validează în mod activ lanțul de atac înainte de a implementa fișiere binare malițioase complet operaționale.
