In una e-mail, il ricercatore di aikido Charlie Eriksen ha detto che il contenitore è stato consegnato domenica sera e non è più disponibile.
“Non era così affidabile/intoccabile come avevano sperato”, ha scritto Eriksen. “Ma per qualche tempo cancellerà i sistemi quando infetti.”
Come il precedente malware TeamPCP, CanisterWorm, come l’Aikido ha chiamato il malware, prende di mira le organizzazioni. Conduttura CI/CD Utilizzato per lo sviluppo e la distribuzione rapidi del software.
“Ogni sviluppatore o pipeline CI che installa questo pacchetto e accede a un token npm diventa un vettore di propagazione non intenzionale”, ha scritto Eriksen. “I loro pacchetti sono infetti, gli utenti a valle li installano e se qualcuno ha il token, il ciclo si ripete.”
Con il passare del fine settimana, CanisterWorm è stato aggiornato per aggiungere un ulteriore carico utile: un tergicristallo che prende di mira esclusivamente le macchine in Iran. Quando il worm aggiornato infetta le macchine, controlla se la macchina si trova nel fuso orario dell’Iran o è configurata per l’uso in quel paese. Quando entrambe le condizioni sono soddisfatte, il malware non attiva più il ladro di credenziali e attiva invece un sofisticato wiper chiamato Kamikaze dagli sviluppatori TeamPCP. Eriksen ha affermato in una e-mail che finora non vi è alcuna indicazione che il worm abbia causato danni reali alle macchine iraniane, ma “c’era una chiara possibilità di un impatto su larga scala se avesse raggiunto una proliferazione attiva”.
Eriksen afferma che “l’albero decisionale di Kamikaze è semplice e brutale”.
- Kubernetes+Iran: distribuisce un daemonset che elimina ogni nodo nel cluster
- Kubernetes + altrove: Distribuisci un daemonset che installa la backdoor CanisterWorm su ciascun nodo
- Niente Kubernetes + Iran:
rm -rf / --no-preserve-root - Kubernetes + da nessun’altra parte: Uscita. non succede nulla
Il fatto che il TimPCP abbia preso di mira un paese con il quale gli Stati Uniti sono attualmente in guerra è una scelta curiosa. Finora la motivazione del gruppo era il guadagno finanziario. Senza un chiaro collegamento al guadagno finanziario, Wiper sembra fuori dal personaggio di TimPCP. Eriksen ha detto che l’Aikido non conosce ancora lo scopo. Ha scritto:
Sebbene possa esserci una componente ideologica, potrebbe facilmente trattarsi di un tentativo deliberato di attirare l’attenzione sul gruppo. Storicamente, il TimPCP è sembrato motivato dal punto di vista finanziario, ma ci sono segnali che la visibilità stia diventando un obiettivo a sé stante. Seguendo strumenti di sicurezza e progetti open source, con segni di spunta come oggi, stanno inviando un segnale chiaro e deliberato.
Quell’hack continua a dare
Il compromesso sulla catena di approvvigionamento di Trivi della scorsa settimana è stato reso possibile da un precedente accordo con Aqua Security alla fine di febbraio. Sebbene la risposta all’incidente dell’azienda fosse intesa a sostituire tutte le credenziali compromesse, l’implementazione era incompleta, consentendo a TeamPCP di assumere il controllo dell’account GitHub per la distribuzione dello scanner di vulnerabilità. Aqua Security ha affermato che sta effettuando una pulizia più approfondita dei certificati in risposta.
