Home Sciences et technologiesCanisterWorm : Nouveau malware ciblant les pipelines CI/CD et l’Iran
Sciences et technologies

CanisterWorm : Nouveau malware ciblant les pipelines CI/CD et l’Iran

by Louis Girard - Tech
written by Louis Girard - Tech

CanisterWorm : L’attaque qui cible l’Iran et révèle les failles de la chaîne d’approvisionnement logicielle

En tant qu’analyste de la sécurité informatique, je suis confronté quotidiennement à de nouvelles menaces. Mais l’attaque récente, baptisée CanisterWorm par les chercheurs d’Aikido Security, se distingue par son originalité et son potentiel destructeur. Elle cible spécifiquement les organisations, en particulier celles utilisant des pipelines CI/CD, et a même ajouté une charge utile visant l’Iran.

Une nouvelle arme dans l’arsenal de TeamPCP

CanisterWorm est l’œuvre du groupe de hackers TeamPCP, déjà connu pour ses activités malveillantes. Ce qui rend cette attaque particulièrement intéressante, c’est l’utilisation d’un “Canister” ICP (Internet Computer Protocol) pour le canal de communication (C2). C’est la première fois qu’une telle technique est observée, ce qui souligne l’évolution constante des tactiques des attaquants.

Le ver se propage via des paquets npm compromis. Chaque développeur ou pipeline CI qui installe ce paquet et dispose d’un jeton npm accessible devient involontairement un vecteur de propagation. Une fois installé, le malware peut infecter d’autres paquets et systèmes, créant un effet domino potentiellement dévastateur.

Kamikaze : L’essuie-glace ciblé

L’ajout d’une charge utile d’essuie-glace, nommée Kamikaze, est particulièrement préoccupant. Kamikaze cible spécifiquement les machines situées en Iran, vérifiant le fuseau horaire ou la configuration régionale. Si l’une de ces conditions est remplie, le malware active un essuie-glace puissant, capable de détruire les données sur les systèmes affectés.

L’arbre de décision de Kamikaze est simple mais brutal :

  • Kubernetes + Iran: Déploiement d’un DaemonSet qui efface chaque nœud du cluster.
  • Kubernetes + ailleurs: Déploiement d’un DaemonSet qui installe la porte dérobée CanisterWorm sur chaque nœud.
  • Pas de Kubernetes + Iran: rm -rf / --no-preserve-root (suppression récursive de tous les fichiers).
  • Pas de Kubernetes + ailleurs: Aucune action.

Bien qu’il n’y ait pour l’instant aucune preuve que Kamikaze ait causé des dommages réels en Iran, le potentiel d’impact à grande échelle est évident.

Un motif trouble

Le ciblage de l’Iran par TeamPCP est surprenant, étant donné que le groupe était auparavant motivé par des gains financiers. L’ajout d’un essuie-glace ne semble pas correspondre à leur modèle habituel. Les chercheurs d’Aikido Security suggèrent que TeamPCP pourrait chercher à attirer l’attention sur ses activités, ou que des motivations idéologiques pourraient être en jeu.

La compromission de la chaîne d’approvisionnement Trivy

L’attaque CanisterWorm est liée à une compromission de la chaîne d’approvisionnement de Trivy, un scanner de vulnérabilités. Cette compromission a été rendue possible par une précédente faille de sécurité chez Aqua Security, qui a permis à TeamPCP de prendre le contrôle du compte GitHub pour distribuer le malware.

Cette série d’événements souligne la vulnérabilité des chaînes d’approvisionnement logicielles et la nécessité de renforcer la sécurité à tous les niveaux.

Quelles leçons tirer et comment se protéger ?

Cette attaque met en évidence plusieurs points cruciaux :

  • Sécurité de la chaîne d’approvisionnement : Il est essentiel de vérifier l’intégrité des paquets et des dépendances logicielles.
  • Gestion des jetons : Les jetons npm doivent être protégés et leur accès doit être strictement contrôlé.
  • Surveillance des pipelines CI/CD : Les pipelines CI/CD doivent être surveillés en permanence pour détecter toute activité suspecte.
  • Préparation à la réponse aux incidents : Les organisations doivent disposer d’un plan de réponse aux incidents solide pour faire face à de telles attaques.

FAQ

Qu’est-ce que CanisterWorm ?
Un malware développé par TeamPCP qui cible les pipelines CI/CD et utilise un canal de communication basé sur ICP.

Kamikaze est-il dangereux ?
Oui, Kamikaze est un essuie-glace puissant qui cible spécifiquement les machines en Iran et peut causer des dommages importants.

Comment puis-je protéger mon organisation contre CanisterWorm ?
En renforçant la sécurité de votre chaîne d’approvisionnement logicielle, en gérant soigneusement vos jetons npm et en surveillant vos pipelines CI/CD.

TeamPCP est-il un groupe motivé par l’argent ou par l’idéologie ?
Leur motivation actuelle est incertaine, mais ils semblent de plus en plus intéressés par la visibilité et la perturbation.

Cette attaque est un rappel brutal de la complexité croissante du paysage des menaces et de la nécessité d’une vigilance constante. Restez informés, renforcez vos défenses et préparez-vous à l’inévitable.

Avez-vous des questions ou des commentaires sur cette attaque ? Partagez vos réflexions ci-dessous !

Pour en savoir plus sur les dernières menaces en matière de sécurité, abonnez-vous à notre newsletter !

Journaliste scientifique, spécialisé en innovation, intelligence artificielle et environnement.

You may also like

Cloudflare révèle : le trafic internet généré par...

SETI@home suspend ses opérations après 27 ans sans...

Charles Hoskinson annonce une pause indéfinie après le...

NASA révèle dates et objectifs du programme Artemis...

DB propose que fonctionnaires, policiers et juges paient...

Microsoft : Fin du projet AI for Earth,...

Trend Micro alerte : l’IA Mythos d’Anthropic révolutionne...

NASA clôt définitivement la mission du rover Opportunity...

IA : mythe ou réalité ? Les limites...

Recherche : des ouvrières-architectes révèlent le secret de...

Leave a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.