Атака на цепочку поставок Trivy запустила червь CanisterWorm в десятках пакетов npm

Злоумышленники, стоящие за атакой на цепочку поставок популярного сканера Trivy, предположительно, проводят последующие атаки, которые привели к компрометации большого количества пакетов npm с помощью ранее не описанного самораспространяющегося червя CanisterWorm.

Название отсылает к тому факту, что вредоносная программа использует ICP-контейнер, обозначающий защищённый от взлома смарт-контракт в блокчейне Интернета, в качестве средства разрешения тайников. Как заявил исследователь Aikido Security Чарли Эриксен, это первое публично задокументированное злоупотребление ICP-контейнером с целью получения доступа к серверу управления и контроля (C2).

Ниже приведён список затронутых пакетов:

28 пакетов в области действия @EmilGroup;

16 пакетов в области действия @opengov;

@teale.io/eslint-config;

@airtm/uuid-base32;

@pypestream/floating-ui-dom.

Ранее злоумышленники использовали скомпрометированные учётные данные для публикации вредоносных релизов trivy, trivy-action и setup-trivy, содержащих программу для кражи данных. Предполагается, что за этими атаками стоит киберпреступная группа TeamPCP, специализирующаяся на облачных технологиях. Цепочка заражения, включающая пакеты npm, предполагает использование postinstall hook для выполнения загрузчика, который затем устанавливает бэкдор на Python, отвечающий за связь с хранилищем ICP для получения URL-адреса, указывающего на следующую полезную нагрузку. Децентрализованная инфраструктура хранилища делает её устойчивой и защищённой от попыток удаления.

«Контроллер контейнера может в любой момент изменить URL-адрес, отправляя новые бинарные файлы на все заражённые хосты», — сказал Эриксен.

Устойчивость обеспечивается с помощью службы пользователя systemd, которая настроена на автоматический