U e-mailu, istraživač Aikidoa Charlie Eriksen rekao je da je kanister uklonjen u nedjelju navečer i više nije dostupan. “Nije bio toliko pouzdan/nepristupačan kao što su očekivali,” napisao je Eriksen. “Ali bi, neko vrijeme, mogao uništiti sustave ako bi bio zaražen.”
Kao i prethodni malware TeamPCP-a, CanisterWorm, kako su nazvali ovu prijetnju, cilja CI/CD pipelineove organizacija koji se koriste za brzi razvoj i implementaciju softvera. “Svaki programer ili CI pipeline koji instalira ovaj paket i ima npm token dostupan postaje nesvjesni vektor širenja,” napisao je Eriksen. “Njihovi paketi se inficiraju, njihovi korisnici preuzimaju te pakete, a ako neki od njih imaju tokene, ciklus se ponavlja.”
Kako je vikend odmicao, CanisterWorm je ažuriran s dodatnim teretom: brisanje podataka koje cilja isključivo mašine u Iranu. Kada ažurirani crv inficira mašine, provjerava je li mašina u iranskoj vremenskoj zoni ili je konfigurirana za korištenje u toj zemlji. Kada je ispunjen bilo koji uvjet, malware više ne aktivira krađu podataka, već pokreće novi brisač koji su programeri TeamPCP-a nazvali Kamikaze. Eriksen je u e-mailu rekao da za sada nema naznaka da je crv uzrokovao stvarnu štetu na iranskim mašinama, ali da postoji “jasan potencijal za široki utjecaj ako postigne aktivno širenje.”
Eriksen je izjavio da je “odluka” Kamikazea “jednostavna i brutalna.”
Kubernetes + Iran: Implementiraj DaemonSet koji briše svaku čvor u klasteru. Kubernetes + drugdje: Implementiraj DaemonSet koji instalira CanisterWorm backdoor na svaki čvor. Bez Kubernetes + Iran: rm -rf / –no-preserve-root. Bez Kubernetes + drugdje: Izlaz. Ništa se ne događa.
Ciljanje zemlje s kojom su Sjedinjene Države trenutno u ratu je zanimljiv izbor za TeamPCP. Do sada je motiv grupe bio financijska dobit. Bez jasne povezanosti s novčanim profitom, brisač se čini neobičnim za TeamPCP. Eriksen je rekao da Aikido još uvijek ne zna motiv. Napisao je: “Iako može postojati ideološka komponenta, to bi također mogla biti namjerna pokušaja privlačenja pažnje na grupu. Povijesno, TeamPCP se činio financijski motiviranim, ali postoje znaci da vidljivost postaje cilj sama po sebi. Napadom na sigurnosne alate i open-source projekte, uključujući Checkmarx, šalju jasnu i namjernu poruku.”
Prošlotjedni kompromis lanca opskrbe Trivyja bio je moguć zbog prethodnog kompromisa Aqua Securityja krajem veljače. Iako je odgovor tvrtke na incident bio usmjeren na zamjenu svih kompromitiranih vjerodajnica, rotacija nije bila potpuna, što je omogućilo TeamPCP-u da preuzme kontrolu nad GitHub računom za distribuciju skenera ranjivosti. Aqua Security je izjavila da provodi temeljitije čišćenje vjerodajnica kao odgovor na to.
