CanisterWorm proširio Trivy supply chain napad na desetine npm paketa
The Hacker News piše da se napad povezan sa kompromitovanim Trivy izdanjima proširio i na npm ekosistem kroz samopropagirajući malver nazvan CanisterWorm. Prema navodima, kompromitovano je 47 npm paketa, a malver koristi postinstall hook, Python backdoor i systemd user servis maskiran kao PostgreSQL alat kako bi održao pristup na zaraženim sistemima. Posebno je zanimljivo što komandno-kontrolnu lokaciju ne dobavlja direktno, već preko ICP canister infrastrukture na Internet Computer blockchain-u, što napadačima daje otpornost na gašenje i mogućnost da naknadno menjaju payload za sve kompromitovane hostove.
Ovo je važna vest zato što pokazuje prelaz iz obične kompromitacije paketa u model samostalnog širenja kroz ukradene npm tokene iz developerskog okruženja. Time se rizik više ne završava na jednom zlonamernom paketu ili jednom kompromitovanom nalogu, već prelazi u lančanu infekciju kroz build okruženja, CI sisteme i zavisnosti. Dodatnu težinu daje to što je kontrolna infrastruktura decentralizovana, pa je odgovor sporiji i tehnički složeniji nego kod klasičnih C2 servera.
- Odmah proveriti da li su pogođeni npm paketi ili kompromitovane Trivy verzije korišćeni u developerskim i CI okruženjima
- Rotirati npm tokene, API ključeve i druge tajne dostupne u build okruženjima ako postoji sumnja na izloženost
- Pratiti postinstall skripte, neočekivano pokretanje Python procesa i kreiranje systemd user servisa na Linux sistemima
- Ograničiti pristup tokenima u developerskim i CI okruženjima na minimum i odvojiti privilegije po projektima
- Uvesti stroži nadzor nad open source zavisnostima i ne tretirati package install kao bezbednu, rutinsku radnju