3月下旬駭客組織TeamPCP發動一連串供應鏈攻擊,其中一起是蠕蟲程式CanisterWorm,如今傳出類似的蠕蟲活動再度出現。
資安公司Socket發現新一波NPM供應鏈攻擊,駭客疑似針對AI系統建置服務及顧問公司Namastex Labs旗下的NPM套件進行竄改,挾帶的惡意軟體具備以下特性:套件安裝完成後即自動執行惡意程式,會從開發環境挖掘各式憑證、採用由Canister智慧合約驅動的服務,以及透過自我複製的方式滲透其他的套件。
本次駭客使用的惡意程式具備4大功能,首先,會從開發環境收集各式機密資料,包括AWS、Azure與GCP雲端憑證,以及Kubernetes與Docker組態配置、SSH金鑰與組態、資料庫密碼檔,以及.npmrc、.git-credentials、.netrc與.env*等開發環境組態檔案,還有Terraform、Pulumi、Vault等平臺的資料。
除了上述開發環境的資料,有效酬載還會從瀏覽器與加密貨幣錢包應用程式,挖掘各式資料。
在搜刮這些資料後,此惡意軟體就會將檔案以兩種管道傳送,一種是HTTPS的Webhook端點,另一種是ICP智慧合約通訊協定的容器Canister。
最終會透過NPM、PyPI進行擴散,以NPM環境而言,有效酬載會從受害電腦擷取權杖(Token),找出開發人員具發布權限的套件,下載檔案並注入惡意掛鉤(Hook),並重新發布。而對於PyPI環境的部分,惡意程式具備能產生Python酬載的指令碼,一旦找到對應的憑證,就會利用Twine製作惡意套件並上傳。
