新型网络攻击“CanisterWorm”针对伊朗发动数据擦除行动
2026年3月19日,一个名为TeamPCP的网络犯罪组织发动针对伊朗的定向网络攻击,部署名为“CanisterWorm”的恶意蠕虫程序,对系统时区或语言设置与伊朗匹配的设备执行数据擦除操作。该攻击利用暴露的云基础设施,包括Docker API、Kubernetes集群及Redis服务器等。
攻击机制显示,当检测到目标系统位于伊朗时区或默认语言为波斯语时,蠕虫将触发数据擦除。若目标为Kubernetes集群,将清除集群内所有节点数据;否则仅清除本地设备。攻击者通过互联网计算机协议(ICP)的去中心化“容器”(canister)部署恶意载荷,该架构具有抗封锁特性,只要运营者支付虚拟货币费用即可持续在线。
此次攻击是TeamPCP继2026年2月对安全工具Trivy发起的供应链攻击后,再次利用其获取的访问权限发动的恶意行为。此前,该团伙已渗透Aqua Security的GitHub Actions,植入窃取SSH密钥、云凭据及加密货币钱包的恶意代码,并在GitHub上发布恶意版本。
安全研究人员Charlie Eriksen指出,TeamPCP在Telegram群组中炫耀其攻击成果,声称已从多家大型企业(包括跨国制药公司)窃取大量敏感数据。此外,攻击者通过向GitHub账户发送垃圾信息,试图提升恶意代码包在搜索结果中的可见性。尽管恶意载荷在周末短暂激活后即被下线,但其行为模式显示高度不稳定性,可能带有挑衅或吸引关注的意图。
安全公司Flare此前分析称,TeamPCP不依赖新型漏洞,而是大规模自动化现有攻击技术,主要针对Azure和AWS云平台,占其攻击目标的97%。该团伙通过整合已知漏洞与配置缺陷,构建云原生攻击平台,形成自传播的犯罪生态系统。
专家警告,此类供应链攻击频率上升,对全球云安全构成持续威胁,需平台方提升检测能力,尤其应对GitHub等代码托管平台加强克隆项目与恶意提交的监控。
相关技术细节
- 攻击载体:CanisterWorm蠕虫,基于ICP区块链容器
- 感染途径:暴露的云服务接口(Docker、Kubernetes、Redis)
- 触发条件:系统时区为伊朗时区或默认语言为波斯语
- 恶意行为:数据擦除,凭证窃取,GitHub账户滥用
- 传播方式:通过GitHub Actions注入恶意代码,利用ICP容器部署
- 攻击平台:主要针对Azure(61%)和AWS(36%)
当前状态
截至2026年3月23日,恶意载荷已多次上线与下线,攻击者频繁修改代码,期间曾将访问引导至YouTube的Rick Roll视频。目前尚无公开证据表明已造成大规模数据损毁,但其行为模式显示潜在威胁仍在持续。
编辑点评
此次针对伊朗的“CanisterWorm”攻击事件凸显了网络犯罪与地缘政治交织的新趋势。虽然TeamPCP被归类为以经济利益为导向的犯罪团伙,但其定向攻击伊朗的策略,疑似带有挑衅或政治象征意味,可能意在制造国际关注或加剧地区紧张局势。该攻击利用云基础设施的暴露面和供应链漏洞,展示了现代网络攻击向基础设施层面渗透的深度,其攻击路径与传统黑客活动存在本质区别——更依赖自动化、去中心化和平台化工具,而非单点突破。
从全球安全格局看,此次事件警示各国对关键基础设施云服务的配置安全与供应链管理必须加强。尤其在伊朗长期面临网络对抗的背景下,此类攻击可能被误读为国家行为,从而引发误判或升级。同时,ICP容器等去中心化技术被用于恶意目的,挑战了传统网络治理模式,监管部门需探索跨平台、跨链的协同应对机制。
长远来看,随着开源生态和云服务普及,供应链攻击将成为常态,企业必须建立纵深防御体系,包括代码审计、动态监控和第三方风险评估。GitHub等平台也需提升对恶意克隆和低质量提交的识别能力,否则可能成为未来更广泛攻击的跳板。此次事件虽未造成广泛破坏,但其技术路径和战术创新具有重要警示意义。