Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Malware CanisterWorm Malware

CanisterWorm Malware

Nga MezoMalware, Krimbat
Përkthe në:

Një sulm i sofistikuar në zinxhirin e furnizimit, që fillimisht kishte në shënjestër skanerin Trivy të përdorur gjerësisht, është përshkallëzuar në një kompromis më të gjerë që prek paketa të shumta npm. Aktorët kërcënues pas fushatës dyshohet se kanë vendosur një krimb vetëpërhapës të padokumentuar më parë, i njohur si CanisterWorm, duke rritur ndjeshëm shkallën dhe ndikimin e ndërhyrjes.

Malware-i e merr emrin nga përdorimi i një kontejneri të Protokollit të Kompjuterit të Internetit (ICP), kontrata inteligjente rezistente ndaj ndërhyrjeve të vendosura në një zinxhir zinxhirësh të decentralizuar, si pjesë e infrastrukturës së tij të komandës. Kjo shënon rastin e parë të dokumentuar publikisht të kontejnerëve ICP që përdoren si armë për të rikuperuar pikat fundore të Komandës dhe Kontrollit (C2), duke prezantuar një taktikë të re dhe elastike që ndërlikon përpjekjet tradicionale të zbutjes.

Paketat e Kompromentuara dhe Vektori i Qasjes Fillestare

Sulmi ka ndikuar në paketa të shumta npm në fusha të ndryshme veprimi, duke demonstruar një rreze të gjerë shpërthimi brenda zinxhirit të furnizimit të softuerëve:

  • 28 paketa nën fushëveprimin e @EmilGroup
  • 16 paketa nën fushëveprimin @opengov
  • Paketa shtesë duke përfshirë @teale.io/eslint-config, @airtm/uuid-base32 dhe @pypestream/floating-ui-dom

Kjo fushatë vjen menjëherë pas një kompromentimi të kredencialeve që u mundësoi sulmuesve të publikonin versione keqdashëse të mjeteve të lidhura me Trivy, konkretisht trivy, trivy-action dhe setup-trivy, të cilat përmbanin funksionalitet të integruar të vjedhjes së kredencialeve. Besohet se operacioni është i lidhur me një grup kriminal kibernetik të fokusuar në cloud, të identifikuar si TeamPCP.

Fluksi i Punës për Infeksione dhe Infrastruktura e Komandës së Decentralizuar

Zinxhiri i infeksionit fillon gjatë procesit të instalimit të paketës npm, ku një skript pas instalimit ekzekuton një ngarkues. Ky ngarkues vendos një derë të pasme të bazuar në Python të projektuar për të komunikuar me kanisterin ICP. Kanistri vepron si një zgjidhës i dead drop, duke kthyer një URL që drejton sistemin e infektuar për të shkarkuar dhe ekzekutuar ngarkesën e fazës tjetër.

Natyra e decentralizuar e infrastrukturës ICP u ofron sulmuesve një avantazh të rëndësishëm. Meqenëse kontejneri mund të përditësojë dinamikisht URL-në e ngarkesës, aktorët kërcënues mund të shpërndajnë skedarë binare të rinj keqdashës në të gjitha sistemet e infektuara pa modifikuar vetë malware-in e vendosur. Kjo arkitekturë gjithashtu i bën përpjekjet e heqjes shumë më sfiduese.

Mekanizmi i Qëndrueshmërisë dhe Teknikat e Fshehtësisë

Qëndrueshmëria arrihet nëpërmjet krijimit të një shërbimi përdoruesi të sistemit të konfiguruar për të rinisur automatikisht procesin keqdashës. Karakteristikat kryesore përfshijnë:

  • Rinisja automatike u imponua nëpërmjet direktivës Restart=always
  • Një vonesë 5-sekondëshe para rilançimit të derës së pasme nëse ndërpritet
  • Duke e maskuar shërbimin si një program monitorimi legjitim PostgreSQL nën emrin 'pgmon'

Kjo qasje siguron funksionim të vazhdueshëm duke minimizuar mundësinë e zbulimit duke u përzier me shërbimet legjitime të sistemit.

Dorëzimi Adaptiv i Ngarkesës dhe Sjellja e Ndërprerësit të Vdekjes

Dera e pasme komunikon periodikisht me kutinë ICP çdo 50 minuta, duke përdorur një agjent përdoruesi të falsifikuar të shfletuesit për të shmangur dyshimet. URL-ja e kthyer përcakton veprimin tjetër:

  • Nëse URL-ja tregon një ngarkesë të vlefshme, programi keqdashës e shkarkon dhe e ekzekuton atë.
  • Nëse URL-ja përmban 'youtube.com', programi keqdashës hyn në një gjendje joaktive.

Ky mekanizëm shërben në mënyrë efektive si një çelës mbyllës në distancë. Duke kaluar URL-në e kanaçes midis një lidhjeje të mirëfilltë në YouTube dhe një ngarkese keqdashëse, sulmuesi mund të aktivizojë ose çaktivizojë programin keqdashës në të gjitha sistemet e infektuara. Veçanërisht, ngarkesat e ekzekutuara më parë vazhdojnë të funksionojnë në sfond, pasi programi keqdashës nuk i ndërpret proceset e mëparshme.

Një ndërprerës i ngjashëm i bazuar në YouTube është vërejtur edhe në një skedar binar Trivy të trojanizuar (versioni 0.69.4), i cili komunikon me të njëjtën infrastrukturë ICP nëpërmjet një dropper të veçantë Python.

Aftësitë e krimbave dhe përhapja e automatizuar

Fillimisht, përhapja mbështetej në një skript të ekzekutuar manualisht të quajtur deploy.js, i cili shfrytëzonte tokenët e vjedhur të vërtetimit npm për të injektuar kod të dëmshëm në paketat e aksesueshme. Ky skript nuk u aktivizua gjatë instalimit, por shërbeu si një mjet i pavarur për të zgjeruar shtrirjen e sulmit.

Variantet pasuese të CanisterWorm kanë evoluar ndjeshëm. Në versionet më të reja, si ato që gjenden në @teale.io/eslint-config (versionet 1.8.11 dhe 1.8.12), krimbi përfshin vetëpërhapjen direkt në procesin e instalimit të paketës. Mekanizmi i përditësuar përfshin:

  • Nxjerrja e tokenëve të vërtetimit npm nga mjedisi i infektuar
  • Ekzekutimi i menjëhershëm i rutinës së përhapjes si një proces i shkëputur në sfond
  • Publikimi automatik i paketave të kompromentuara duke përdorur kredencialet e mbledhura

Ky ndryshim e transformon sulmin nga një fushatë e operuar manualisht në një sistem përhapjeje plotësisht autonom.

Përshkallëzimi në një kërcënim të vetëmjaftueshëm për zinxhirin e furnizimit

Futja e mbledhjes automatike të tokenëve dhe vetëpërhapjes shënon një përshkallëzim kritik. Çdo stacion pune zhvilluesi ose tubacion CI/CD që instalon një paketë të kompromentuar dhe përmban kredenciale npm të aksesueshme bëhet një nyje aktive përhapjeje. Kjo krijon një efekt kaskadues në të cilin paketat e infektuara çojnë në infeksione të mëtejshme nëpër varësitë e rrjedhës së poshtme.

Në këtë fazë, kërcënimi evoluon përtej kompromentimit të izoluar të llogarisë në një ekosistem të vetëmbështetur të shpërndarjes së programeve keqdashëse. Çdo mjedis i infektuar rishtazi kontribuon në përhapje, duke mundësuar rritje eksponenciale dhe duke e bërë përmbajtjen dukshëm më të vështirë.

Duke e përkeqësuar shqetësimin, testimi i artefakteve të tilla si një ngarkesë vendore ('hello123') tregon se sulmuesit po e rafinojnë dhe validojnë në mënyrë aktive zinxhirin e sulmit përpara se të vendosin skedarë binare keqdashës plotësisht funksionalë.

Në trend

Më e shikuara

Po ngarkohet...