Злонамерни софтвер CanisterWorm

Софистицирани напад на ланац снабдевања, који је првобитно био усмерен на широко коришћени Trivy скенер, ескалирао је у шири компромитовање које је утицало на бројне npm пакете. Претње које стоје иза кампање су осумњичене да су користиле раније недокументованог саморазмножавајућег црва познатог као CanisterWorm, што је значајно повећало обим и утицај упада.

Злонамерни софтвер је добио име по коришћењу ICP (Internet Computer Protocol) канистера, паметних уговора отпорних на неовлашћене измене смештених на децентрализованом блокчејну, као дела своје командне инфраструктуре. Ово означава први јавно документовани случај да су ICP канистери употребљени као оружје за преузимање крајњих тачака команде и контроле (C2), уводећи нову и отпорну тактику која компликује традиционалне напоре за ублажавање последица.

Компромитовани пакети и вектор почетног приступа

Напад је утицао на више npm пакета у различитим областима, демонстрирајући широк радијус експлозије унутар ланца снабдевања софтвером:

• 28 пакета у оквиру @EmilGroup домета
• 16 пакета у оквиру @opengov
• Додатни пакети, укључујући @teale.io/eslint-config, @airtm/uuid-base32 и @pypestream/floating-ui-dom

Ова кампања је уследила одмах након компромитовања акредитива који је омогућио нападачима да објављују злонамерне верзије алата повезаних са Trivy-јем, тачније trivy, trivy-action и setup-trivy, који су садржали уграђену функционалност за крађу акредитива. Верује се да је операција повезана са сајбер криминалном групом фокусираном на облак, идентификованом као TeamPCP.

Ток рада инфекције и децентрализована командна инфраструктура

Ланац инфекције почиње током процеса инсталације npm пакета, где скрипта након инсталације извршава програм за учитавање података. Овај програм за учитавање података покреће задња врата базирана на Пајтону, дизајнирана за комуникацију са ICP канистером. Канистер делује као решавач мртвих локација, враћајући URL адресу која усмерава заражени систем да преузме и изврши следећи корисни терет.

Децентрализована природа ICP инфраструктуре пружа значајну предност нападачима. Пошто канистер може динамички да ажурира URL адресу корисног оптерећења, актери претње могу да дистрибуирају нове злонамерне бинарне датотеке на свим зараженим системима без модификовања самог распоређеног злонамерног софтвера. Ова архитектура такође знатно отежава напоре за уклањање.

Механизам истрајности и технике прикривености

Упорност се постиже креирањем корисничке услуге systemd конфигурисане да аутоматски поново покрене злонамерни процес. Кључне карактеристике укључују:

• Аутоматско поновно покретање се спроводи путем директиве Restart=always
• Кашњење од 5 секунди пре поновног покретања задњих врата ако се прекине
• Прикривање сервиса као легитимног софтвера за праћење PostgreSQL-а под именом „pgmon“

Овај приступ осигурава континуирани рад, а истовремено минимизира вероватноћу откривања тако што се уклапа са легитимним системским услугама.

Адаптивна испорука корисног терета и понашање прекидача за искључивање

Бакдоор периодично комуницира са ICP канистером сваких 50 минута, користећи лажни кориснички агент прегледача како би избегао сумњу. Враћени URL одређује следећу акцију:

• Ако URL указује на валидан корисни садржај, злонамерни софтвер га преузима и извршава
• Ако URL садржи „youtube.com“, злонамерни софтвер улази у стање мировања

Овај механизам ефикасно служи као даљински прекидач за искључивање. Пребацивањем URL адресе канистера између доброћудног YouTube линка и злонамерног корисног садржаја, нападач може активирати или деактивирати малвер на свим зараженим системима. Приметно је да претходно извршени корисни садржаји настављају да се извршавају у позадини, јер малвер не прекида раније процесе.

Сличан прекидач за искључивање заснован на YouTube-у је такође примећен у тројанизованом Trivy бинарном фајлу (верзија 0.69.4), који комуницира са истом ICP инфраструктуром преко посебног Python дропа.

Могућности црва и аутоматизовано размножавање

У почетку се пропагација ослањала на ручно извршан скрипт под називом deploy.js, који је користио украдене npm токене за аутентификацију за убризгавање злонамерног кода у доступне пакете. Овај скрипт није покренут током инсталације, већ је служио као самостални алат за проширење домета напада.

Накнадне варијанте CanisterWorm-а су значајно еволуирале. У новијим верзијама, као што су оне које се налазе у @teale.io/eslint-config (верзије 1.8.11 и 1.8.12), црв укључује самопропагацију директно у процес инсталације пакета. Ажурирани механизам укључује:

• Екстракција npm токена за аутентификацију из зараженог окружења
• Тренутно извршавање рутине пропагације као одвојеног позадинског процеса
• Аутоматизовано објављивање компромитованих пакета коришћењем прикупљених акредитива

Ова промена трансформише напад из ручно управљане кампање у потпуно аутономни систем пропагације.

Ескалација у претњу самоодрживом ланцу снабдевања

Увођење аутоматизованог прикупљања токена и самопропагације означава критичну ескалацију. Свака програмерска радна станица или CI/CD цевовод који инсталира угрожени пакет и садржи приступачне npm акредитиве постаје активни чвор за пропагацију. Ово ствара каскадни ефекат у којем заражени пакети доводе до даљих инфекција низводних зависности.

У овој фази, претња еволуира изван изолованог компромитовања налога у самоодржив екосистем дистрибуције злонамерног софтвера. Свако новозаражено окружење доприноси ширењу, омогућавајући експоненцијални раст и знатно отежавајући сузбијање.

Забринутост се погоршава чињеницом да тестирање артефаката, као што је резервисани садржај („hello123“), указује на то да нападачи активно усавршавају и валидирају ланац напада пре него што примене потпуно оперативне злонамерне бинарне датотеке.