Самораспространяющийся вирус атаковал open-source и стёр данные в Иране
Группировка TeamPCP внедрила вредонос в CI/CD конвейеры разработчиков, добавив компонент для удаления файлов на иранских машинах.
Специалист по безопасности Aikido Чарли Эриксен сообщил, что вредоносный пакет удалили в воскресенье вечером, но в течение времени до этого он успел бы стереть системы заражённых машин. CanisterWorm (так назвали вирус исследователи) нацелен на CI/CD конвейеры — инструменты, которые разработчики используют для автоматизации сборки и развёртывания кода. Механизм распространения простой и опасный: если разработчик или автоматизированный процесс установит заражённый npm-пакет и имеет доступ к токену, вирус превращает его машину в источник инфекции. Все созданные этим разработчиком пакеты становятся заражёнными, их скачивают другие, и цикл повторяется.
В выходные TeamPCP добавила в вирус новый компонент — Kamikaze, деструктивный модуль, который срабатывает только на машинах в Иране. Когда CanisterWorm определяет, что система находится в иранском часовом поясе или настроена для использования в этой стране, вместо кражи учётных данных активируется wiper. Для Kubernetes-кластеров вирус разворачивает DaemonSet, который стирает все узлы. Для обычных систем выполняет команду `rm -rf / --no-preserve-root` — полное удаление файловой системы. Пока нет подтверждений реального ущерба иранским машинам, но потенциал для масштабного поражения очевиден.
Поведение TeamPCP вызывает вопросы. Раньше группировка мотивировалась финансовой выгодой, но атака на Иран — страну, с которой США находятся в конфликте — выглядит идеологически. Эриксен предполагает, что это может быть попыткой привлечь внимание: группировка целенаправленно атакует инструменты безопасности и популярные open-source проекты, включая Checkmarx, что выглядит как демонстрация силы.
Атака стала возможной благодаря предыдущей компрометации Aqua Security в конце февраля. Хотя компания провела ротацию учётных данных, она оказалась неполной, и TeamPCP сохранила доступ к GitHub-аккаунту для распространения сканера уязвимостей Trivy. Aqua Security проводит более тщательную очистку доступов.
— По материалам Ars Technica: оригинальная статья. Перевод и адаптация — редакция Digital Business by.
