کمیته رکن چهارم – در ادامه حمله زنجیره تأمین علیه ابزار Trivy، موج جدیدی از حملات سایبری با آلوده شدن دهها پکیج npm به یک کرم خودانتشار به نام CanisterWorm شناسایی شده است.
به گزارش کمیته رکن چهارم، این بدافزار که بهاحتمال زیاد توسط همان عامل حمله قبلی توسعه یافته، با سوءاستفاده از زیرساخت بلاکچین Internet Computer برای ارتباط با سرورهای فرماندهی، روش جدیدی در حملات بدافزاری معرفی کرده است.
در این حمله، پکیجهای متعددی از جمله مجموعههایی در scopeهای مختلف و ابزارهای توسعه به کد مخرب آلوده شدهاند. بررسیها نشان میدهد آلودگی از طریق اجرای کد در مرحله نصب پکیج (postinstall) آغاز شده و سپس با نصب یک بکدور و دریافت دستورات از زیرساخت غیرمتمرکز ادامه مییابد.
بر اساس تحلیلها، این بدافزار هر چند ده دقیقه با یک منبع خارجی ارتباط برقرار کرده و دستورات جدید را دریافت میکند. همچنین مهاجمان میتوانند از طریق تغییر آدرسهای ارسالشده، بدافزار را فعال یا غیرفعال کنند.
قابلیت خودانتشاردر نسخههای جدید، CanisterWorm به یک کرم واقعی تبدیل شده است. این بدافزار با استخراج توکنهای npm از سیستم قربانی، قادر است بهطور خودکار به مخازن دیگر دسترسی یافته و نسخههای آلوده جدیدی منتشر کند.
در نتیجه، هر توسعهدهنده یا سامانهای که این پکیجها را نصب کند، میتواند ناخواسته به بخشی از زنجیره انتشار بدافزار تبدیل شود.
ماندگاری و پنهانسازی
بدافزار برای حفظ دسترسی، خود را بهعنوان یک سرویس سیستمی ثبت کرده و بهصورت خودکار پس از راهاندازی سیستم اجرا میشود. همچنین استفاده از نامهای جعلی برای این سرویسها، شناسایی آن را دشوارتر میکند.
پیشزمینه
کارشناسان امنیتی این حمله را یک تحول مهم در تهدیدات زنجیره تأمین میدانند؛ چرا که ترکیب قابلیت خودانتشار، استفاده از زیرساخت غیرمتمرکز و هدف قرار دادن توسعهدهندگان، میتواند منجر به گسترش سریع آلودگی در اکوسیستم نرمافزار شود.
این روند نشان میدهد حملات سایبری بهسمت مدلهایی حرکت میکنند که در آن هر قربانی بهطور ناخواسته به عامل گسترش حمله تبدیل میشود.
منبع: BleepingComputer
