CanisterSprawl npm worm krade developerske tokene i širi se kroz pakete
Istraživači iz Socket i StepSecurity upozorili su na novi supply-chain worma crv, nazvan CanisterSprawl, koji kompromituje npm pakete i širi se pomoću ukradenih developerskih tokena. Malware se pokreće tokom instalacije preko postinstall hooka, krade npm tokene, SSH ključeve, cloud kredencijale, Kubernetes, Docker, Terraform, Vault i .env podatke, a zatim ih šalje na webhook i ICP canister infrastrukturu. Kada pronađe važeće npm tokene, pokušava da objavi nove zaražene verzije paketa, čime jedan kompromitovan developerski sistem može postati početna tačka za nove kompromitacije.
Kod ovakvih napada razvojno okruženje postaje odskočna daska za širenje kroz ceo softverski lanac. Problem nije samo u jednom zaraženom paketu, već u tome što ukradeni tokeni, CI/CD tajne i cloud kredencijali mogu napadaču dati mogućnost da truje druge projekte, repozitorijume i pakete kojima developer ima pristup.
- Proveriti da li su korišćene pogođene verzije npm paketa navedene u izveštaju
- Ako je paket instaliran, sistem tretirati kao kompromitovan i rotirati npm tokene, SSH ključeve i cloud kredencijale
- Pregledati package.json skripte, posebno postinstall hookove i neočekivane dodatne fajlove
- Ograničiti prava npm tokena i koristiti tokene kratkog trajanja gde god je moguće
- Proveriti CI/CD logove, GitHub aktivnosti i neobične objave novih verzija paketa