CanisterWorm Kötü Amaçlı Yazılımı

Başlangıçta yaygın olarak kullanılan Trivy tarayıcısını hedef alan karmaşık bir tedarik zinciri saldırısı, çok sayıda npm paketini etkileyen daha geniş bir güvenlik açığına dönüştü. Saldırının arkasındaki tehdit aktörlerinin, daha önce belgelenmemiş, kendi kendini yayan bir solucan olan CanisterWorm'u kullandığından şüpheleniliyor; bu da saldırının ölçeğini ve etkisini önemli ölçüde artırdı.

Bu kötü amaçlı yazılım, komuta altyapısının bir parçası olarak, merkezi olmayan bir blok zincirinde barındırılan, kurcalamaya dayanıklı akıllı sözleşmeler olan bir İnternet Bilgisayar Protokolü (ICP) kapsülü kullanmasından adını almaktadır. Bu, ICP kapsüllerinin Komuta ve Kontrol (C2) uç noktalarını ele geçirmek için silah olarak kullanıldığına dair kamuoyuna açık olarak belgelenmiş ilk örnektir ve geleneksel önleme çabalarını zorlaştıran yeni ve dayanıklı bir taktik sunmaktadır.

Güvenliği Tehlikeye Atılmış Paketler ve İlk Erişim Vektörü

Saldırı, farklı kapsamdaki birçok npm paketini etkileyerek yazılım tedarik zinciri içinde geniş bir etki alanına sahip olduğunu gösterdi:

• @EmilGroup kapsamındaki 28 paket
• @opengov kapsamındaki 16 paket
• @teale.io/eslint-config, @airtm/uuid-base32 ve @pypestream/floating-ui-dom dahil olmak üzere ek paketler

Bu kampanya, saldırganların Trivy ile ilgili araçların (özellikle trivy, trivy-action ve setup-trivy) kötü amaçlı sürümlerini yayınlamasına olanak tanıyan bir kimlik bilgisi ihlalinin hemen ardından geldi. Bu sürümler, içine yerleştirilmiş kimlik bilgisi çalma işlevi içeriyordu. Operasyonun, TeamPCP olarak tanımlanan bulut odaklı bir siber suçlu grubuyla bağlantılı olduğuna inanılıyor.

Enfeksiyon İş Akışı ve Merkezi Olmayan Komuta Altyapısı

Enfeksiyon zinciri, npm paket kurulum işlemi sırasında, bir postinstall betiğinin bir yükleyiciyi çalıştırmasıyla başlar. Bu yükleyici, ICP kapsülüyle iletişim kurmak üzere tasarlanmış Python tabanlı bir arka kapı dağıtır. Kapsül, bir ölü nokta çözümleyicisi görevi görerek, enfekte olmuş sistemi bir sonraki aşama yükünü indirmeye ve çalıştırmaya yönlendiren bir URL döndürür.

ICP altyapısının merkeziyetsiz yapısı, saldırganlara önemli bir avantaj sağlıyor. Virüs kapsülü, yük URL'sini dinamik olarak güncelleyebildiği için, tehdit aktörleri dağıtılan kötü amaçlı yazılımın kendisini değiştirmeden tüm enfekte sistemlere yeni kötü amaçlı ikili dosyalar dağıtabiliyor. Bu mimari aynı zamanda imha çabalarını da önemli ölçüde zorlaştırıyor.

Kalıcılık Mekanizması ve Gizlilik Teknikleri

Kalıcılık, kötü amaçlı süreci otomatik olarak yeniden başlatacak şekilde yapılandırılmış bir systemd kullanıcı hizmetinin oluşturulması yoluyla sağlanır. Başlıca özellikleri şunlardır:

• Restart=always yönergesi aracılığıyla otomatik yeniden başlatma zorunlu kılınmıştır.
• Sonlandırılması durumunda arka kapının yeniden başlatılmasından önce 5 saniyelik bir gecikme.
• Hizmeti 'pgmon' adı altında meşru bir PostgreSQL izleme yazılımı gibi göstermek.

Bu yaklaşım, meşru sistem hizmetleriyle bütünleşerek tespit edilme olasılığını en aza indirirken sürekli çalışmayı sağlar.

Uyarlanabilir Yük Teslimi ve Acil Durdurma Anahtarı Davranışı

Arka kapı, şüphe uyandırmamak için sahte bir tarayıcı Kullanıcı Aracısı kullanarak her 50 dakikada bir ICP kapsülüyle periyodik olarak iletişim kurar. Döndürülen URL, sonraki eylemi belirler:

• Eğer URL geçerli bir zararlı yazılıma işaret ediyorsa, zararlı yazılım onu indirir ve çalıştırır.
• URL'de 'youtube.com' ifadesi yer alıyorsa, kötü amaçlı yazılım pasif duruma geçer.

Bu mekanizma etkili bir şekilde uzaktan kapatma düğmesi görevi görür. Saldırgan, zararlı yazılımın URL'sini zararsız bir YouTube bağlantısı ile kötü amaçlı bir yük arasında değiştirerek, kötü amaçlı yazılımı tüm bulaşmış sistemlerde etkinleştirebilir veya devre dışı bırakabilir. Özellikle, daha önce yürütülen zararlı yazılımlar arka planda çalışmaya devam eder, çünkü kötü amaçlı yazılım önceki işlemleri sonlandırmaz.

Benzer bir YouTube tabanlı kapatma mekanizması, aynı ICP altyapısıyla ayrı bir Python yükleyici aracılığıyla iletişim kuran, truva atı bulaştırılmış bir Trivy ikili dosyasında (sürüm 0.69.4) da gözlemlenmiştir.

Solucan Yetenekleri ve Otomatik Yayılım

Başlangıçta, saldırının yayılması, çalınan npm kimlik doğrulama belirteçlerini kullanarak erişilebilir paketlere kötü amaçlı kod enjekte eden deploy.js adlı manuel olarak yürütülen bir komut dosyasına dayanıyordu. Bu komut dosyası kurulum sırasında tetiklenmiyordu, ancak saldırının kapsamını genişletmek için bağımsız bir araç olarak görev yapıyordu.

CanisterWorm'un sonraki sürümleri önemli ölçüde evrim geçirmiştir. @teale.io/eslint-config'te bulunanlar gibi daha yeni sürümlerde (1.8.11 ve 1.8.12 sürümleri), solucan kendi kendine yayılmayı doğrudan paketin kurulum sürecine entegre eder. Güncellenmiş mekanizma şunları içerir:

• Virüs bulaşmış ortamdan npm kimlik doğrulama belirteçlerinin çıkarılması
• Yayılma rutinini bağımsız bir arka plan işlemi olarak anında yürütme
• Ele geçirilen kimlik bilgilerini kullanarak tehlikeye atılmış paketlerin otomatik olarak yayınlanması

Bu değişim, saldırıyı elle yürütülen bir kampanyadan tamamen otonom bir yayılma sistemine dönüştürüyor.

Kendi Kendini Sürdürebilen Bir Tedarik Zinciri Tehdidine Dönüşme

Otomatik token toplama ve kendi kendine yayılma özelliğinin devreye girmesi kritik bir aşamayı işaret ediyor. Güvenliği ihlal edilmiş bir paketi yükleyen ve erişilebilir npm kimlik bilgilerini içeren herhangi bir geliştirici iş istasyonu veya CI/CD işlem hattı, aktif bir yayılma düğümü haline gelir. Bu, enfekte paketlerin aşağı akış bağımlılıklarında daha fazla enfeksiyona yol açtığı bir zincirleme etki yaratır.

Bu aşamada, tehdit, tekil hesap ihlallerinden öteye geçerek, kendi kendini sürdürebilen bir kötü amaçlı yazılım dağıtım ekosistemine dönüşüyor. Her yeni enfekte olmuş ortam, yayılmaya katkıda bulunarak, katlanarak büyümeyi mümkün kılıyor ve kontrol altına almayı önemli ölçüde zorlaştırıyor.

Daha da endişe verici olan, yer tutucu bir zararlı yazılım ('hello123') gibi test unsurlarının, saldırganların tam işlevsel kötü amaçlı yazılımları dağıtmadan önce saldırı zincirini aktif olarak geliştirip doğruladıklarını göstermesidir.