Атака на ланцюг поставок Trivy: черв CanisterWorm компрометує npm пакети

Зловмисники, що стоять за атакою на ланцюг поставок популярного сканера вразливостей Trivy, підозрюються у проведенні подальших атак. Це призвело до компрометації значної кількості npm пакетів новим саморозповсюджуваним шкідливим програмним забезпеченням, названим CanisterWorm. Цей інцидент підкреслює зростаючу загрозу для екосистем розробки програмного забезпечення.

► ЩО СТАЛОСЬ█

Нещодавня атака на ланцюг поставок, спрямована проти широко використовуваного сканера вразливостей Trivy, переросла у серію подальших компрометацій. Зловмисники, які стоять за початковим інцидентом, тепер підозрюються у використанні цієї вразливості для поширення нового шкідливого програмного забезпечення. Це призвело до зараження значної кількості пакетів у репозиторії npm, що є критичним компонентом для мільйонів проєктів розробки програмного забезпечення.

► ТЕХНІЧНІ ДЕТАЛІ█

Нове шкідливе програмне забезпечення отримало назву CanisterWorm. Це саморозповсюджуваний черв, який використовує унікальний механізм для своєї роботи. Назва "CanisterWorm" походить від його здатності використовувати ICP canister – термін, що позначає захищені від несанкціонованого доступу смарт-контракти на платформі Internet Computer Protocol. Цей метод дозволяє шкіднику зберігати свою логіку та дані у стійкому та важкодоступному для виявлення середовищі. За попередніми даними, атака вже скомпрометувала щонайменше 47 різних npm пакетів, що свідчить про її значний масштаб та потенціал швидкого поширення.

► КОМУ ЗАГРОЖУЄ█

Ця атака становить серйозну загрозу для широкого кола суб'єктів:

Розробники програмного забезпечення: Особливо ті, хто використовує сканер Trivy або залежить від пакетів з репозиторію npm у своїх проєктах.
Організації: Будь-яка компанія, що розробляє або використовує програмне забезпечення, яке інтегрує скомпрометовані npm пакети, може бути під загрозою.
Інфраструктура CI/CD: Системи безперервної інтеграції та доставки, які автоматично завантажують та використовують залежності, є особливо вразливими до автоматичного поширення CanisterWorm.

► РЕКОМЕНДАЦІЇ█

Для мінімізації ризиків та захисту від подібних атак Cyber Index UA рекомендує:

Аудит залежностей: Регулярно перевіряйте всі залежності ваших проєктів на предмет відомих вразливостей та підозрілої активності. Використовуйте інструменти для аналізу складу програмного забезпечення (SCA).
Оновлення програмного забезпечення: Переконайтеся, що всі інструменти, включаючи Trivy, та всі npm пакети оновлені до останніх безпечних версій.
Принцип найменших привілеїв: Застосовуйте принцип найменших привілеїв для облікових записів та систем, які взаємодіють з репозиторіями пакетів.
Моніторинг мережі та систем: Впровадьте посилений моніторинг для виявлення незвичайної мережевої активності або змін у поведінці додатків, які можуть свідчити про компрометацію.
Аналіз джерел: Будьте обережні при інтеграції нових або маловідомих пакетів. Перевіряйте репутацію авторів та історію пакетів.

🔗 Джерело: The Hacker News →