
아이키도 연구원인 찰리 에릭슨은 이메일을 통해 용기가 일요일 밤에 철거되었으며 더 이상 사용할 수 없다고 말했습니다.
Eriksen은 “기대만큼 신뢰할 수 있거나 건드릴 수 없는 것이 아니었습니다.”라고 썼습니다. “그러나 한동안은 감염되면 시스템이 지워졌을 것입니다.”
이전 TeamPCP 악성 코드와 마찬가지로 Aikido가 악성 코드라고 명명한 CanisterWorm은 소프트웨어의 신속한 개발 및 배포에 사용되는 조직의 CI/CD 파이프라인을 표적으로 삼습니다.
“이 패키지를 설치하고 npm 토큰에 액세스할 수 있는 모든 개발자 또는 CI 파이프라인은 자신도 모르게 전파 벡터가 됩니다. Eriksen은 “그들의 패키지가 감염되고 다운스트림 사용자가 패키지를 설치하며 토큰이 있는 경우 주기가 반복됩니다.”라고 썼습니다.
주말이 진행됨에 따라 CanisterWorm은 추가 페이로드를 추가하도록 업데이트되었습니다. 즉, 이란에서만 기계를 대상으로 하는 와이퍼입니다. 업데이트된 웜이 시스템을 감염시키면 시스템이 이란 시간대에 있는지 또는 해당 국가에서 사용하도록 구성되었는지 확인합니다. 두 조건 중 하나가 충족되면 악성 코드는 더 이상 자격 증명 도용을 활성화하지 않고 대신 TeamPCP 개발자가 Kamikaze라고 명명한 새로운 와이퍼를 실행했습니다. Eriksen은 이메일을 통해 이 웜이 이란 시스템에 실제 피해를 입혔다는 징후는 아직 없지만 “활발하게 확산된다면 대규모 영향을 미칠 가능성은 분명하다”고 밝혔습니다.
Eriksen은 Kamikaze의 “의사결정 트리는 단순하고 잔인하다”고 말했습니다.
- 쿠버네티스 + 이란: 클러스터의 모든 노드를 지우는 DaemonSet 배포
- Kubernetes + 다른 곳: 모든 노드에 CanisterWorm 백도어를 설치하는 DaemonSet를 배포합니다.
- Kubernetes + 이란 없음:
rm -rf / --no-preserve-root - Kubernetes + 다른 곳 없음: 출구. 아무 일도 일어나지 않습니다.
TeamPCP가 현재 미국과 전쟁 중인 국가를 표적으로 삼는 것은 흥미로운 선택입니다. 지금까지 그룹의 동기는 금전적 이익이었습니다. 금전적 이익과의 명확한 연관성이 없기 때문에 와이퍼는 TeamPCP의 성격에 맞지 않는 것 같습니다. 에릭센은 아이키도가 아직 동기를 모른다고 말했다. 그는 다음과 같이 썼습니다.
이데올로기적인 요소가 있을 수 있지만 이는 그룹의 관심을 끌기 위한 고의적인 시도일 수도 있습니다. 역사적으로 TeamPCP는 재정적 동기를 부여받은 것처럼 보였지만 가시성이 그 자체로 목표가 되고 있다는 징후가 있습니다. 현재 Checkmarx를 포함한 보안 도구와 오픈 소스 프로젝트를 진행함으로써 명확하고 의도적인 신호를 보내고 있습니다.
계속해서 기부하는 해킹
지난 주 Trivy의 공급망 손상은 2월 말 Aqua Security의 이전 손상으로 인해 가능해졌습니다. 회사의 사고 대응은 손상된 모든 자격 증명을 교체하기 위한 것이지만 순환이 불완전하여 TeamPCP가 취약점 스캐너 배포를 위해 GitHub 계정을 제어할 수 있었습니다. Aqua Security는 이에 대응하여 보다 철저한 자격 증명 제거를 수행하고 있다고 밝혔습니다.