Casele de dezvoltare software sunt în alertă: este momentul să verificați rețelele pentru infecții.
Un nou grup de hackeri a declanșat o campanie persistentă pe Internet, răspândind un backdoor auto-propagator și un curios program de ștergere a datelor care vizează mașinile din Iran.
Grupul, monitorizat sub numele de TeamPCP, a devenit vizibil în decembrie, când cercetătorii de la firma de securitate Flare l-au observat lansând un vierme care viza platformele găzduite în cloud care nu erau securizate corespunzător. Obiectivul era de a construi o infrastructură distribuită de proxy și scanare, pentru a compromite servere în scopul exfiltrării datelor, desfășurării de ransomware, efectuării de șantaj și minerit de criptomonede. Grupul se remarcă prin abilitățile sale în automatizarea la scară largă și integrarea tehnicilor de atac bine-cunoscute.
Mai recent, TeamPCP a demarat o campanie neîntreruptă care folosește malware în continuă evoluție pentru a prelua controlul asupra unui număr tot mai mare de sisteme. Sfârșitul săptămânii trecute, a compromis aproape toate versiunile scannerului de vulnerabilități Trivy, într-un atac asupra lanțului de aprovizionare, după ce a obținut acces privilegiat la contul GitHub al Aqua Security, creatorul Trivy.
În weekend, cercetătorii au observat că TeamPCP răspândește un malware puternic, de asemenea, echipat cu capacitatea de auto-propagare, ceea ce înseamnă că poate să se răspândească automat la noi mașini, fără interacțiunea necesară din partea victimelor. După infectarea unei mașini, malware-ul caută token-uri de acces la depozitul npm și compromite orice pachete publicabile disponibile, creând o nouă versiune contaminată cu codul rău intenționat. Aikido a observat viermele vizând 28 de pachete în mai puțin de 60 de secunde.
Inițial, un atacator trebuia să răspândească manual viermele în fiecare pachet la care un token npm compromis avea acces. Versiunile ulterioare, lansate în weekend, au eliminat această necesitate, mărindu-i astfel raza de acțiune.
Viermele era controlat printr-un mecanism neobișnuit, conceput să fie rezistent la modificări. Utiliza un canister bazat pe Protocolul Computer Internet, un tip de contract inteligent auto-executabil, conceput să fie imposibil de eliminat sau modificat de terți. Canisterul putea indica URL-uri în continuă schimbare pentru serverele care găzduiau binarele rău intenționate. Oferind atacatorilor o modalitate ca viermele să găsească servere de control, aceștia puteau schimba URL-urile oricând. Mașinile infectate raportau la canister o dată la fiecare 50 de minute.
Într-un e-mail, cercetătorul Aikido, Charlie Eriksen, a menționat că canisterul a fost dezactivat duminică seara și nu mai este disponibil.
„Nu a fost la fel de fiabil/intangibil cum se așteptau,” a scris Eriksen. „Dar pentru o vreme, ar fi putut șterge sistemele dacă erau infectate.”
Ca și în cazul malware-ului anterior TeamPCP, CanisterWorm, cum l-a numit Aikido, vizează fluxurile de dezvoltare și implementare continuă (CI/CD) ale organizațiilor, utilizate pentru dezvoltarea și desfășurarea rapidă a software-ului.
„Fiecare dezvoltator sau flux CI care instalează acest pachet și are un token npm accesibil devine un vector de propagare neintenționat,” a explicat Eriksen.
Sursa: Ars Tehnica Technology
Poll: Care dintre următoarele măsuri ar trebui luate pentru a preveni infecția cu malware-ul CanisterWorm?
Revista “Ştiinţă şi Tehnică“, cea mai cunoscută şi longevivă publicaţie de popularizare a ştiintelor din România
Leave a Reply