البرمجيات الخبيثة ذاتية النشر تسمم البرمجيات مفتوحة المصدر وتمسح الأجهزة الموجودة في إيران

وفي رسالة بالبريد الإلكتروني، قال تشارلي إريكسن، الباحث في رياضة الأيكيدو، إن العلبة أُزيلت ليلة الأحد ولم تعد متوفرة.

وكتب إريكسن: “لم تكن موثوقة ولا يمكن المساس بها كما توقعوا”. “ولكن لفترة من الوقت، كان من الممكن أن يمحو الأنظمة إذا أصيبت”.

مثل برنامج TeamPCP السابق، يستهدف CanisterWorm، كما أطلق Aikido على البرنامج الضار، خطوط أنابيب CI/CD الخاصة بالمؤسسات المستخدمة للتطوير السريع ونشر البرامج.

كتب إريكسن: “كل مطور أو خط أنابيب CI يقوم بتثبيت هذه الحزمة ولديه رمز npm يمكن الوصول إليه، يصبح ناقل انتشار غير مقصود. تصاب حزمهم، ويقوم المستخدمون النهائيون بتثبيتها، وإذا كان لدى أي منهم رموز مميزة، تتكرر الدورة”.

ومع مرور عطلة نهاية الأسبوع، تم تحديث CanisterWorm لإضافة حمولة إضافية: ممسحة تستهدف الأجهزة حصريًا في إيران. عندما تصيب الدودة المحدثة الأجهزة، فإنها تتحقق مما إذا كان الجهاز في المنطقة الزمنية الإيرانية أو أنه تم تكوينه للاستخدام في ذلك البلد. عند استيفاء أي من الشرطين، لم تعد البرامج الضارة تقوم بتنشيط أداة سرقة بيانات الاعتماد، وبدلاً من ذلك قامت بتشغيل أداة مسح جديدة أطلق عليها مطورو TeamPCP اسم Kamikaze. وقال إريكسن في رسالة بالبريد الإلكتروني إنه لا يوجد ما يشير حتى الآن إلى أن الدودة تسببت في أضرار فعلية للآلات الإيرانية، ولكن هناك “احتمال واضح للتأثير على نطاق واسع إذا حققت انتشارًا نشطًا”.

وقال إريكسن إن “شجرة قرارات كاميكازي بسيطة ووحشية”.

• كوبرنيتس + إيران: قم بنشر DaemonSet الذي يمسح كل عقدة في المجموعة
• كوبيرنيتيس + في أماكن أخرى: قم بنشر DaemonSet الذي يقوم بتثبيت الباب الخلفي CanisterWorm على كل عقدة
• لا يوجد Kubernetes + إيران: rm -rf / --no-preserve-root
• لا يوجد Kubernetes + في أي مكان آخر: مخرج. لا شيء يحدث.

إن استهداف فريق TeamPCP لبلد تخوض الولايات المتحدة حربًا معه حاليًا هو خيار غريب. حتى الآن كان دافع المجموعة هو تحقيق مكاسب مالية. مع عدم وجود صلة واضحة بالربح النقدي، يبدو أن هذه المشكلة خارج نطاق شخصية TeamPCP. وقال إريكسن إن أيكيدو لا يزال لا يعرف الدافع. كتب:

وفي حين أنه قد يكون هناك عنصر أيديولوجي، إلا أنه يمكن أن يكون بنفس السهولة محاولة متعمدة للفت الانتباه إلى المجموعة. تاريخيًا، بدا أن فريق TeamPCP لديه دوافع مالية، ولكن هناك دلائل تشير إلى أن الظهور أصبح هدفًا في حد ذاته. ومن خلال ملاحقة الأدوات الأمنية والمشاريع مفتوحة المصدر، بما في ذلك Checkmarx اعتبارًا من اليوم، فإنهم يرسلون إشارة واضحة ومتعمدة.

الاختراق الذي يستمر في العطاء

أصبح اختراق سلسلة التوريد لـ Trivy في الأسبوع الماضي ممكنًا بفضل التسوية السابقة لـ Aqua Security في أواخر فبراير. على الرغم من أن استجابة الشركة للحوادث كانت تهدف إلى استبدال جميع بيانات الاعتماد المخترقة، إلا أن التناوب لم يكن مكتملاً، مما سمح لـ TeamPCP بالتحكم في حساب GitHub لتوزيع أداة فحص الثغرات الأمنية. وقالت شركة Aqua Security إنها كانت تجري عملية تطهير أكثر شمولاً لبيانات الاعتماد ردًا على ذلك.