CanisterWorm Malware

విస్తృతంగా ఉపయోగించే ట్రివీ స్కానర్‌ను మొదట లక్ష్యంగా చేసుకున్న ఒక అధునాతన సప్లై చైన్ దాడి, అనేక npm ప్యాకేజీలను ప్రభావితం చేసే ఒక విస్తృతమైన ఉల్లంఘనగా పరిణమించింది. ఈ దాడి వెనుక ఉన్న ముప్పు కారకులు, కానిస్టర్‌వార్మ్ అని పిలువబడే, ఇంతకుముందు నమోదుకాని, స్వయంగా వ్యాపించే ఒక వార్మ్‌ను ప్రయోగించారని అనుమానిస్తున్నారు. ఇది చొరబాటు యొక్క పరిధిని, ప్రభావాన్ని గణనీయంగా పెంచింది.

ఈ మాల్వేర్ తన కమాండ్ ఇన్‌ఫ్రాస్ట్రక్చర్‌లో భాగంగా, వికేంద్రీకృత బ్లాక్‌చెయిన్‌పై హోస్ట్ చేయబడిన, ట్యాంపర్-రెసిస్టెంట్ స్మార్ట్ కాంట్రాక్టులైన ఇంటర్నెట్ కంప్యూటర్ ప్రోటోకాల్ (ICP) కానిస్టర్‌ను ఉపయోగించడం వల్ల దానికి ఆ పేరు వచ్చింది. కమాండ్-అండ్-కంట్రోల్ (C2) ఎండ్‌పాయింట్‌లను తిరిగి పొందడానికి ICP కానిస్టర్‌లను ఆయుధాలుగా ఉపయోగించినట్లు బహిరంగంగా నమోదు చేయబడిన మొట్టమొదటి ఉదంతం ఇదే. ఇది సాంప్రదాయ నివారణ ప్రయత్నాలను క్లిష్టతరం చేసే ఒక నూతనమైన మరియు పటిష్టమైన వ్యూహాన్ని పరిచయం చేస్తుంది.

రాజీపడిన ప్యాకేజీలు మరియు ప్రారంభ యాక్సెస్ వెక్టర్

ఈ దాడి వివిధ స్థాయిలలోని అనేక npm ప్యాకేజీలను ప్రభావితం చేసింది, ఇది సాఫ్ట్‌వేర్ సరఫరా గొలుసులో విస్తృత ప్రభావ పరిధిని ప్రదర్శిస్తుంది:

• @EmilGroup పరిధిలోని 28 ప్యాకేజీలు
• @opengov పరిధిలోని 16 ప్యాకేజీలు
• @teale.io/eslint-config, @airtm/uuid-base32, మరియు @pypestream/floating-ui-dom తో సహా అదనపు ప్యాకేజీలు

క్రెడెన్షియల్స్ ను దుర్వినియోగం చేసిన సంఘటన జరిగిన వెంటనే ఈ దాడి జరిగింది. ఆ సంఘటన కారణంగా, దాడి చేసేవారు క్రెడెన్షియల్స్ ను దొంగిలించే సామర్థ్యం ఉన్న ట్రివీ, ట్రివీ-యాక్షన్, మరియు సెటప్-ట్రివీ వంటి ట్రివీ-సంబంధిత టూల్స్ యొక్క హానికరమైన వెర్షన్లను ప్రచురించగలిగారు. ఈ ఆపరేషన్, టీమ్‌పీసీపీ (TeamPCP)గా గుర్తించబడిన క్లౌడ్-కేంద్రీకృత సైబర్ నేరగాళ్ల బృందంతో ముడిపడి ఉందని భావిస్తున్నారు.

ఇన్ఫెక్షన్ వర్క్‌ఫ్లో మరియు వికేంద్రీకృత కమాండ్ ఇన్‌ఫ్రాస్ట్రక్చర్

npm ప్యాకేజీ ఇన్‌స్టాలేషన్ ప్రక్రియలో, ఒక పోస్ట్‌ఇన్‌స్టాల్ స్క్రిప్ట్ లోడర్‌ను అమలు చేయడంతో ఇన్ఫెక్షన్ గొలుసు మొదలవుతుంది. ఈ లోడర్, ICP కానిస్టర్‌తో కమ్యూనికేట్ చేయడానికి రూపొందించిన పైథాన్ ఆధారిత బ్యాక్‌డోర్‌ను అమర్చుతుంది. ఆ కానిస్టర్ ఒక డెడ్ డ్రాప్ రిజాల్వర్‌గా పనిచేస్తూ, సోకిన సిస్టమ్‌ను తదుపరి దశ పేలోడ్‌ను డౌన్‌లోడ్ చేసి, అమలు చేసేలా నిర్దేశించే ఒక URLను తిరిగి పంపుతుంది.

ICP మౌలిక సదుపాయాల వికేంద్రీకృత స్వభావం దాడి చేసేవారికి గణనీయమైన ప్రయోజనాన్ని అందిస్తుంది. కానిస్టర్ పేలోడ్ URLను డైనమిక్‌గా అప్‌డేట్ చేయగలదు కాబట్టి, ముప్పు కలిగించేవారు ఇప్పటికే అమర్చిన మాల్వేర్‌ను సవరించకుండానే, సోకిన అన్ని సిస్టమ్‌లలో కొత్త హానికరమైన బైనరీలను పంపిణీ చేయగలరు. ఈ నిర్మాణం తొలగింపు ప్రయత్నాలను కూడా గణనీయంగా మరింత సవాలుగా మారుస్తుంది.

నిలకడ యంత్రాంగం మరియు రహస్య పద్ధతులు

హానికరమైన ప్రాసెస్‌ను స్వయంచాలకంగా పునఃప్రారంభించేలా కాన్ఫిగర్ చేయబడిన systemd యూజర్ సర్వీస్‌ను సృష్టించడం ద్వారా నిలకడ సాధించబడుతుంది. ముఖ్య లక్షణాలు:

• Restart=always ఆదేశం ద్వారా స్వయంచాలక పునఃప్రారంభం అమలు చేయబడుతుంది
• రద్దు చేయబడితే బ్యాక్‌డోర్‌ను తిరిగి ప్రారంభించడానికి ముందు 5 సెకన్ల ఆలస్యం
• 'pgmon' అనే పేరుతో ఈ సేవను చట్టబద్ధమైన PostgreSQL పర్యవేక్షణ సాఫ్ట్‌వేర్‌గా మభ్యపెట్టడం

ఈ విధానం చట్టబద్ధమైన సిస్టమ్ సేవలతో కలిసిపోవడం ద్వారా, పట్టుబడే అవకాశాన్ని తగ్గించి, నిరంతర కార్యాచరణను నిర్ధారిస్తుంది.

అడాప్టివ్ పేలోడ్ డెలివరీ మరియు కిల్ స్విచ్ ప్రవర్తన

అనుమానాన్ని నివారించడానికి, ఈ బ్యాక్‌డోర్ నకిలీ బ్రౌజర్ యూజర్-ఏజెంట్‌ను ఉపయోగించి, ప్రతి 50 నిమిషాలకు ఒకసారి ICP కానిస్టర్‌తో క్రమానుగతంగా సంభాషిస్తుంది. తిరిగి వచ్చిన URL తదుపరి చర్యను నిర్ధారిస్తుంది:

• ఒకవేళ URL సరైన పేలోడ్‌ను సూచిస్తే, మాల్వేర్ దానిని డౌన్‌లోడ్ చేసి అమలు చేస్తుంది.
• URLలో 'youtube.com' ఉంటే, మాల్వేర్ నిద్రాణ స్థితిలోకి వెళుతుంది.

ఈ యంత్రాంగం సమర్థవంతంగా రిమోట్ కిల్ స్విచ్‌గా పనిచేస్తుంది. కానిస్టర్ యొక్క URLను ఒక హానిచేయని యూట్యూబ్ లింక్ మరియు హానికరమైన పేలోడ్ మధ్య మార్చడం ద్వారా, దాడి చేసేవారు సోకిన అన్ని సిస్టమ్‌లలో మాల్వేర్‌ను యాక్టివేట్ లేదా డీయాక్టివేట్ చేయగలరు. ముఖ్యంగా, మాల్వేర్ మునుపటి ప్రాసెస్‌లను ముగించదు కాబట్టి, గతంలో అమలు చేయబడిన పేలోడ్‌లు బ్యాక్‌గ్రౌండ్‌లో నడుస్తూనే ఉంటాయి.

ఇదే విధమైన YouTube-ఆధారిత కిల్ స్విచ్, ఒక ట్రోజనైజ్డ్ ట్రివీ బైనరీ (వెర్షన్ 0.69.4)లో కూడా గమనించబడింది, ఇది ఒక ప్రత్యేక పైథాన్ డ్రాపర్ ద్వారా అదే ICP ఇన్‌ఫ్రాస్ట్రక్చర్‌తో కమ్యూనికేట్ చేస్తుంది.

వార్మ్ సామర్థ్యాలు మరియు స్వయంచాలక వ్యాప్తి

ప్రారంభంలో, ఈ దాడి వ్యాప్తి కోసం deploy.js అనే మాన్యువల్‌గా అమలు చేసే స్క్రిప్ట్‌ను ఉపయోగించారు. ఇది దొంగిలించబడిన npm అథెంటికేషన్ టోకెన్‌లను ఉపయోగించి, అందుబాటులో ఉన్న ప్యాకేజీలలోకి హానికరమైన కోడ్‌ను చొప్పించింది. ఈ స్క్రిప్ట్ ఇన్‌స్టాలేషన్ సమయంలో ట్రిగ్గర్ అవ్వలేదు, కానీ దాడి పరిధిని విస్తరించడానికి ఒక స్వతంత్ర సాధనంగా పనిచేసింది.

కానిస్టర్‌వార్మ్ యొక్క తర్వాతి వేరియంట్లు గణనీయంగా అభివృద్ధి చెందాయి. @teale.io/eslint-config (వెర్షన్లు 1.8.11 మరియు 1.8.12)లో కనిపించే వాటి వంటి కొత్త వెర్షన్లలో, ఈ వార్మ్ స్వీయ-వ్యాప్తిని నేరుగా ప్యాకేజీ యొక్క ఇన్‌స్టాలేషన్ ప్రక్రియలోనే పొందుపరుస్తుంది. నవీకరించబడిన ఈ విధానంలో ఇవి ఉన్నాయి:

• ఇన్ఫెక్టెడ్ ఎన్విరాన్‌మెంట్ నుండి npm అథెంటికేషన్ టోకెన్‌లను సంగ్రహించడం
• ప్రచార రొటీన్‌ను డిటాచ్డ్ బ్యాక్‌గ్రౌండ్ ప్రాసెస్‌గా తక్షణమే అమలు చేయడం
• సేకరించిన ఆధారాలను ఉపయోగించి రాజీపడిన ప్యాకేజీలను స్వయంచాలకంగా ప్రచురించడం

ఈ మార్పు దాడిని మానవీయంగా నిర్వహించే ప్రచారం నుండి పూర్తిగా స్వయంప్రతిపత్తి గల వ్యాప్తి వ్యవస్థగా మారుస్తుంది.

స్వయం-నిలకడగల సరఫరా గొలుసు ముప్పుగా తీవ్రతరం కావడం

ఆటోమేటెడ్ టోకెన్ హార్వెస్టింగ్ మరియు స్వీయ-వ్యాప్తిని ప్రవేశపెట్టడం ఒక క్లిష్టమైన పరిణామాన్ని సూచిస్తుంది. రాజీపడిన ప్యాకేజీని ఇన్‌స్టాల్ చేసి, అందుబాటులో ఉన్న npm క్రెడెన్షియల్స్‌ను కలిగి ఉన్న ఏదైనా డెవలపర్ వర్క్‌స్టేషన్ లేదా CI/CD పైప్‌లైన్ ఒక క్రియాశీల వ్యాప్తి నోడ్‌గా మారుతుంది. ఇది ఒక గొలుసుకట్టు ప్రభావాన్ని సృష్టిస్తుంది, దీనిలో సోకిన ప్యాకేజీలు వాటి తదుపరి డిపెండెన్సీలలో మరిన్ని ఇన్ఫెక్షన్‌లకు దారితీస్తాయి.

ఈ దశలో, ముప్పు కేవలం వేర్వేరు ఖాతాల హ్యాకింగ్‌కు పరిమితం కాకుండా, మాల్‌వేర్ పంపిణీకి సంబంధించిన ఒక స్వయం-నిలకడ గల పర్యావరణ వ్యవస్థగా పరిణామం చెందుతుంది. కొత్తగా ఇన్ఫెక్ట్ అయిన ప్రతి ఎన్విరాన్‌మెంట్ వ్యాప్తికి దోహదపడుతుంది, ఇది విపరీతమైన పెరుగుదలకు వీలు కల్పిస్తూ, నియంత్రణను గణనీయంగా కష్టతరం చేస్తుంది.

ఈ ఆందోళనను మరింత పెంచుతూ, 'hello123' వంటి ప్లేస్‌హోల్డర్ పేలోడ్ వంటి పరీక్షా ఆధారాలు, దాడి చేసేవారు పూర్తిస్థాయిలో పనిచేసే హానికరమైన బైనరీలను మోహరించడానికి ముందు దాడి గొలుసును చురుకుగా మెరుగుపరుస్తూ, ధృవీకరిస్తున్నారని సూచిస్తున్నాయి.