Malware Auto-Propagante Devasta il Software Open Source e Colpisce Macchine Iraniane
Un nuovo e sofisticato gruppo di hacker, noto come TeamPCP, sta seminando il caos su Internet con una campagna persistente che diffonde un backdoor inedito e auto-propagante, accompagnato da un inquietante data wiper specificamente mirato alle macchine iraniane. La visibilitĆ di questo gruppo ĆØ emersa per la prima volta a dicembre, quando i ricercatori di sicurezza di Flare hanno osservato il rilascio di un worm progettato per attaccare piattaforme cloud non adeguatamente protette. L’obiettivo primario era costruire un’infrastruttura di proxy e scansione distribuita, da utilizzare poi per compromettere server, esfiltrare dati, distribuire ransomware, condurre attivitĆ di estorsione e persino per il mining di criptovalute. TeamPCP si distingue per la sua notevole abilitĆ nell’automazione su larga scala e nell’integrazione di tecniche di attacco ben note, dimostrando una capacitĆ di evoluzione costante.
Campagna Incessante e Malware in Continua Evoluzione
Recentemente, TeamPCP ha intensificato la sua offensiva con una campagna implacabile, impiegando malware in continua evoluzione per estendere il proprio controllo su un numero sempre maggiore di sistemi. Solo la scorsa settimana, il gruppo ĆØ riuscito a compromettere quasi tutte le versioni del diffuso scanner di vulnerabilitĆ Trivy. Questo attacco alla catena di approvvigionamento ĆØ stato reso possibile dall’ottenimento di un accesso privilegiato all’account GitHub di Aqua Security, l’azienda creatrice di Trivy. Nel fine settimana, i ricercatori hanno segnalato la diffusione di un potente malware da parte di TeamPCP, dotato di funzionalitĆ worm, che gli consente di propagarsi automaticamente a nuove macchine senza alcuna interazione da parte dell’utente. Una volta infettata una macchina, il malware cerca attivamente token di accesso al repository npm, compromettendo pacchetti pubblicabili attraverso la creazione di una nuova versione infusa di codice malevolo. Aikido ha documentato il targeting di 28 pacchetti in meno di 60 secondi. Inizialmente, l’attaccante doveva propagare manualmente il worm, ma le versioni successive hanno eliminato questo requisito, ampliando enormemente la sua portata.
Un Meccanismo di Controllo Innovativo e Tamper-Proof
Il worm era controllato da un meccanismo insolito, progettato per essere a prova di manomissione. Utilizzava un ‘canister’ basato sull’Internet Computer Protocol, una forma di smart contract auto-eseguibile, progettato per essere impossibile da abbattere o alterare da terze parti. Questo canister poteva puntare a URL in costante cambiamento per i server che ospitavano i binari malevoli, offrendo agli attaccanti un modo per aggiornare continuamente gli indirizzi dei server di controllo. Le macchine infette riportavano al canister ogni 50 minuti. Sebbene il canister sia stato successivamente disattivato, per un certo periodo ha rappresentato una minaccia significativa. Come il precedente malware di TeamPCP, noto come CanisterWorm, anche questo attacca le pipeline CI/CD delle organizzazioni, fondamentali per lo sviluppo e il rilascio rapido del software. Ogni sviluppatore o pipeline che installa questo pacchetto e ha un token npm accessibile diventa un involontario vettore di propagazione, infettando i propri pacchetti e, di conseguenza, gli utenti a valle.
Il Payload Inatteso il Data Wiper Kamikaze
Con il progredire del fine settimana, CanisterWorm ĆØ stato aggiornato per includere un payload aggiuntivo un data wiper che colpisce esclusivamente le macchine in Iran. Una volta infettate le macchine, il worm verifica se la macchina si trova nel fuso orario iraniano o ĆØ configurata per l’uso nel paese. In entrambi i casi, il malware disattiva il furto di credenziali e attiva un nuovo wiper denominato Kamikaze dagli sviluppatori di TeamPCP. Non ci sono ancora indicazioni che il worm abbia causato danni effettivi alle macchine iraniane, ma il potenziale per un impatto su larga scala ĆØ chiaro. La logica di Kamikaze ĆØ semplice e brutale: se la macchina utilizza Kubernetes ed ĆØ in Iran, esegue un comando per cancellare tutti i nodi del cluster. Se utilizza Kubernetes ma non ĆØ in Iran, installa il backdoor CanisterWorm. Se non utilizza Kubernetes e si trova in Iran, esegue un comando `rm -rf / –no-preserve-root`, che cancella l’intero sistema. In assenza di Kubernetes e al di fuori dell’Iran, il malware semplicemente non fa nulla. Il targeting di un paese con cui gli Stati Uniti sono attualmente in conflitto ĆØ una scelta curiosa, dato che la motivazione principale di TeamPCP ĆØ sempre stata il guadagno finanziario. Senza un chiaro legame con il profitto monetario, il wiper sembra fuori dal comune per il gruppo. Potrebbe esserci una componente ideologica, oppure un tentativo deliberato di attirare l’attenzione. Compromettendo strumenti di sicurezza e progetti open source, TeamPCP sta inviando un segnale chiaro e deliberato.
La Continua VulnerabilitĆ della Catena di Approvvigionamento
Il compromesso della catena di approvvigionamento di Trivy ĆØ stato reso possibile da una precedente violazione di Aqua Security a fine febbraio. Nonostante i tentativi di risposta all’incidente, la rotazione delle credenziali compromesse ĆØ stata incompleta, permettendo a TeamPCP di riprendere il controllo dell’account GitHub. Aqua Security ha dichiarato di stare eseguendo una pulizia piĆ¹ approfondita delle credenziali. Nel fine settimana, il gruppo ĆØ riuscito anche a compromettere l’account Docker Hub di Aqua Security, pubblicando due aggiornamenti malevoli per lo scanner. TeamPCP ha inoltre compromesso un secondo account GitHub di Aqua Security, modificando e pubblicando 44 repository interni, inclusi codici sorgente, fork di Trivy, pipeline CI/CD e basi di conoscenza del team. Sembra che i successivi tentativi di rotazione completa delle credenziali siano stati nuovamente infruttuosi. La campagna CanisterWorm appare come un’estensione diretta del compromesso iniziale di Trivy, piuttosto che un’operazione separata. La capacitĆ del worm di infiltrarsi nelle pipeline e nelle macchine degli sviluppatori rappresenta una seria escalation della campagna di TeamPCP volta a rubare quante piĆ¹ credenziali possibile. Le organizzazioni di sviluppo dovrebbero essere consapevoli di poter essere state colpite senza saperlo. Sia Aikido che Socket hanno pubblicato indicatori che le organizzazioni possono utilizzare per determinare se sono state prese di mira o compromesse.
La Nostra Testata Pensa Che…
Questo incidente evidenzia una preoccupante evoluzione nelle tattiche degli attori malevoli, che sfruttano sempre piĆ¹ la complessitĆ e l’interconnessione delle moderne catene di approvvigionamento software. La capacitĆ di TeamPCP di automatizzare attacchi su larga scala e di integrare meccanismi di controllo sofisticati, come i canister ICP, dimostra un livello di competenza che richiede una risposta altrettanto avanzata da parte delle aziende e dei ricercatori di sicurezza. La natura auto-propagante del malware e il targeting specifico di infrastrutture critiche come le pipeline CI/CD rappresentano una minaccia esistenziale per le organizzazioni che dipendono da questi strumenti. La componente del data wiper mirato all’Iran aggiunge un ulteriore strato di complessitĆ , suggerendo possibili motivazioni geopolitiche o un tentativo di depistaggio. Ć fondamentale che le aziende rafforzino le proprie difese, implementando pratiche rigorose di gestione delle credenziali, monitoraggio continuo delle pipeline e verifiche approfondite di ogni componente software, anche quello apparentemente piĆ¹ innocuo. La collaborazione tra attori del settore e la condivisione rapida di informazioni sugli indicatori di compromissione sono essenziali per contrastare minacce in rapida evoluzione come questa. La sicurezza informatica non ĆØ piĆ¹ un’opzione ma una necessitĆ imprescindibile nell’era digitale.
Fonte: Originale
