Αυτοδιαδιδόμενο malware δηλητηριάζει open source λογισμικό και σβήνει δεδομένα σε ιρανικά συστήματα

Η ομάδα TeamPCP εκτόξευσε τις τελευταίες εβδομάδες του Μαρτίου 2026 ένα πολυεπίπεδο supply chain attack που ξεκίνησε από τον δημοφιλή open source vulnerability scanner Trivy της Aqua Security και κατέληξε στη διασπορά ενός αυτοδιαδιδόμενου worm στο npm registry, με ενσωματωμένο wiper που στοχεύει συστήματα στο Ιράν. Το worm, το οποίο η Aikido Security ονόμασε CanisterWorm, εντοπίστηκε στις 20 Μαρτίου 2026 και αποτελεί, σύμφωνα με ερευνητές, άμεση συνέχεια της παραβίασης του Trivy που είχε προηγηθεί.

Από το Trivy στο npm: η αλυσίδα της παραβίασης

Η επιθετική αλυσίδα ξεκίνησε στα τέλη Φεβρουαρίου, όταν το TeamPCP εκμεταλλεύτηκε ένα misconfiguration στο GitHub Actions component του Trivy και έκλεψε ένα privileged access token από την Aqua Security. Παρόλο που η εταιρεία προσπάθησε να αντικαταστήσει τα credentials, η διαδικασία ήταν ατελής. Πιο συγκεκριμένα, ένα bot που αναγνωρίστηκε ως hackerbot-claw εκμεταλλεύτηκε ένα misconfigured pull_request_target workflow στο GitHub Actions του Trivy για να κλέψει ένα Personal Access Token (PAT). Η ομάδα παρακολουθείται επίσης υπό τα ονόματα DeadCatx3, PCPcat, ShellForce και CipherForce.

Με το κλεμμένο token, ο επιτιθέμενος force-pushed malicious commits σε 75 από τα 76 version tags του aquasecurity/trivy-action και σε 7 tags του aquasecurity/setup-trivy, αντικαθιστώντας ουσιαστικά το νόμιμο scanner με ένα credential harvester σε χιλιάδες CI/CD pipelines. Οι malicious εκδόσεις εκτελούσαν ένα εργαλείο που περιγραφόταν ως "TeamPCP Cloud stealer", το οποίο αντλούσε μνήμη από τη διεργασία Runner.Worker, συλλέγοντας SSH keys, cloud credentials και Kubernetes secrets, κρυπτογραφώντας τα δεδομένα με AES-256 και RSA-4096, και εξάγοντάς τα σε remote server. Κρίσιμη λεπτομέρεια: το malware εκτελούνταν πριν από τη νόμιμη λογική σάρωσης του Trivy, οπότε τα compromised workflows φαίνονταν να ολοκληρώνονται κανονικά ενώ σιωπηλά εξάγονταν δεδομένα.

Η επίθεση Trivy και η εκστρατεία CanisterWorm εκτελέστηκαν μέσα σε παράθυρο 24 ωρών, και τα npm tokens που συλλέχθηκαν από την παραβίαση του Trivy τροφοδότησαν άμεσα το πρώτο κύμα μολύνσεων. Σύμφωνα με την εταιρεία ασφάλειας Socket, η supply chain επίθεση του CanisterWorm επεκτάθηκε σε 141 malicious package artifacts που καλύπτουν πάνω από 66 μοναδικά packages. Η εκστρατεία παρακολουθείται υπό το CVE-2026-33634 με CVSS score 9.4.

CanisterWorm: αυτοδιάδοση μέσω npm και blockchain C2

Το CanisterWorm είναι σχεδιασμένο αποκλειστικά για Linux συστήματα. Μόλις εγκατασταθεί, εγκαθιδρύει ένα persistent backdoor που επιβιώνει μετά από reboot χρησιμοποιώντας systemd, και συνδέεται σε command-and-control server χτισμένο στο Internet Computer Protocol (ICP), ένα decentralized blockchain network. Επειδή το ICP δεν έχει ενιαίο host ή provider, η C2 υποδομή δεν μπορεί να κατεβεί μέσω συμβατικού takedown request, κάνοντας το CanisterWorm το πρώτο δημοσίως τεκμηριωμένο npm worm που χρησιμοποιεί αυτή την τεχνική.

Ο τρόπος διάδοσης είναι αλυσιδωτός: κάθε developer ή CI pipeline που εγκαθιστά ένα μολυσμένο package και έχει προσβάσιμο npm token γίνεται εν αγνοία του vector διάδοσης. Τα packages του μολύνονται, οι downstream χρήστες τα εγκαθιστούν, και αν κάποιος από αυτούς έχει tokens, ο κύκλος επαναλαμβάνεται. Ερευνητές παρατήρησαν το worm να στοχεύει 28 packages σε λιγότερο από 60 δευτερόλεπτα. Ο κώδικας του CanisterWorm εκτιμάται από ερευνητές ότι αναπτύχθηκε γρήγορα με AI βοήθεια, δεν είναι obfuscated, και η λογική είναι γραμμένη ρητά και αναγνώσιμα. Ο επιτιθέμενος έδωσε προτεραιότητα στην ταχύτητα ανάπτυξης και διάδοσης έναντι της απόκρυψης.

Το wiper Kamikaze και οι ιρανικοί στόχοι

Σε σημαντική κλιμάκωση, μεταγενέστερες εκδόσεις του CanisterWorm περιέλαβαν ένα νέο payload με το όνομα "Kamikaze", ένα data wiper που στοχεύει αποκλειστικά μηχανές στο Ιράν. Σύμφωνα με ερευνητές της Aikido, το malware είναι χτισμένο για να καταστρέψει οποιαδήποτε μηχανή αντιστοιχεί στο timezone και locale του Ιράν. Αν πληρούνται και οι δύο συνθήκες, το script αναπτύσσει ένα DaemonSet με το όνομα "host-provisioner-iran" στο "kube-system", το οποίο χρησιμοποιεί privileged containers και προσαρτά το host root filesystem. Κάθε pod τρέχει ένα Alpine container με το όνομα "kamikaze" που διαγράφει όλους τους top-level φακέλους του host filesystem και στη συνέχεια αναγκάζει το σύστημα σε reboot.

Σε μηχανές με Ιράν που δεν εκτελούν Kubernetes, το worm εκτελεί απευθείας "rm -rf / --no-preserve-root". Η τελευταία έκδοση του CanisterWorm έχει εξελιχθεί πέρα από τη στήριξη στο Kubernetes για διάδοση: περιλαμβάνει πλέον αυτόνομες δυνατότητες lateral movement μέσω κλοπής SSH keys και εκμετάλλευσης Docker APIs. Το script αναλύει ενεργά authentication logs για να εξάγει ενεργές IP διευθύνσεις και usernames από επιτυχημένες συνδέσεις, και χρησιμοποιεί τα ανακαλυφθέντα private SSH keys για να διαδοθεί σε γειτονικές μηχανές.

Η συνεχιζόμενη παρουσία στην υποδομή της Aqua Security

Παράλληλα, το TeamPCP παραβίασε και τους 44 internal repositories του GitHub organization "aquasec-com" της Aqua Security, μετονομάζοντάς τους με πρόθεμα "tpcp-docs-" και εκθέτοντάς τους δημόσια. Το "aquasec-com" account είναι διαφορετικό από το "aquasecurity" organization που φιλοξενεί το Trivy. Οι αποθετήρια περιλαμβάνουν source code για το Tracee, εσωτερικά Trivy forks, CI/CD pipelines, Kubernetes operators και team knowledge bases. Σύμφωνα με ανάλυση, όλα τα repositories τροποποιήθηκαν σε scripted burst 2 λεπτών, μεταξύ 20:31:07 UTC και 20:32:26 UTC στις 22 Μαρτίου 2026.

Επιπλέον, ο επιτιθέμενος δημοσίευσε malicious Docker images για το Trivy (tags 0.69.5 και 0.69.6) στο Docker Hub περίπου στις 16:00 UTC στις 22 Μαρτίου, ενώ και οι δύο ενέργειες επιβεβαιώνουν ότι ο επιτιθέμενος είχε επαναποκτήσει πρόσβαση στην υποδομή της Aqua Security μετά την αρχική προσπάθεια containment. Σε επίσημη ενημέρωση στις 23 Μαρτίου 2026, η Aqua Security ανέφερε ότι η έρευνά της "επικεντρώνεται ενεργά στην επαλήθευση ότι όλα τα access paths έχουν εντοπιστεί και πλήρως κλειστεί", προσθέτοντας ότι δεν υπάρχει ένδειξη ότι τα commercial products της επηρεάστηκαν. Σύμφωνα με αναφορές ως τις 25 Μαρτίου, το TeamPCP είχε στραφεί από κλοπή credentials σε ενεργό εκβιασμό, διαθέτοντας περίπου 300 GB συμπιεσμένων κλεμμένων credentials και φέρεται να συνεργάζεται με την ομάδα εκβιασμού LAPSUS$ για να στοχεύσει εταιρείες πολλών δισεκατομμυρίων δολαρίων.

Το κίνητρο και οι συστάσεις ασφαλείας

Σε προφίλ της ομάδας που δημοσιεύτηκε τον Ιανουάριο, η εταιρεία Flare ανέφερε ότι το TeamPCP εκμεταλλεύεται εκτεθειμένα control planes αντί για endpoints, στοχεύοντας κυρίως cloud υποδομές, με το Azure να αντιπροσωπεύει το 61% και το AWS το 36% των παραβιασμένων servers. "Η ισχύς του TeamPCP δεν προέρχεται από novel exploits ή πρωτότυπο malware, αλλά από τη large-scale αυτοματοποίηση και ενσωμάτωση γνωστών τεχνικών επίθεσης", σύμφωνα με την Flare. Το κίνητρο για το wiper component παραμένει αδιευκρίνιστο: "Υπάρχει πιθανότητα αυτό με το Ιράν να είναι απλώς ο τρόπος τους να τραβήξουν την προσοχή", δήλωσε ο Eriksen. Παράλληλα, ο Eriksen επισήμανε ότι δεν υπάρχει αξιόπιστος τρόπος να επιβεβαιωθεί αν το wiper κατάφερε πράγματι να καταστρέψει δεδομένα σε συστήματα θυμάτων, και ότι το malicious payload ήταν ενεργό μόνο για σύντομο χρονικό διάστημα.

Οργανισμοί που χρησιμοποίησαν Trivy για vulnerability scanning στα pipelines τους κατά το διάστημα 19-21 Μαρτίου 2026 πρέπει να θεωρήσουν ως πιθανώς compromised οποιαδήποτε tokens ήταν παρόντα σε αυτά τα environments. Προς ελαχιστοποίηση του κινδύνου, ερευνητές προτείνουν να αναζητηθούν ύποπτες υπηρεσίες με τα ονόματα pgmon ή pgmonitor στα Kubernetes clusters, καθώς το malware τα χρησιμοποιεί για κάλυψη. Τόσο η Aikido όσο και η Socket έχουν δημοσιεύσει πλήρεις λίστες Indicators of Compromise (IOCs) για όσους θέλουν να ελέγξουν αν έχουν επηρεαστεί.

Πηγές

• Ars Technica: