自传播恶意软件污染开源软件 并清除伊朗境内设备

美国网络安全公司Aikido研究人员查理·埃里克森（Charlie Eriksen）于3月24日通过邮件表示，名为CanisterWorm的恶意软件已于周日晚被下架，目前无法获取。

“它并不像他们预期的那样可靠或无法触及，”埃里克森写道，“但一段时间内，若系统被感染，该软件将触发清除操作。”

该恶意软件与此前TeamPCP组织的攻击类似，专门针对组织的CI/CD（持续集成/持续部署）管道，利用开发者在安装软件包时暴露的npm令牌进行传播。

“任何安装此包且拥有npm令牌的开发者或CI管道，都将成为无意中的传播载体，”埃里克森指出，“他们的软件包会被感染，下游用户安装后，若持有令牌，传播循环将再次启动。”

随着周末推进，CanisterWorm更新了新的载荷：一种专门针对伊朗的擦除程序。当感染设备时，恶意软件会检测设备是否位于伊朗时区或配置为伊朗使用。若满足任一条件，则不再激活凭据窃取模块，而是触发名为Kamikaze的新型擦除程序。

埃里克森表示，目前尚无证据表明该蠕虫已对伊朗系统造成实际破坏，但其“大规模影响潜力明确”。

Kamikaze的决策逻辑被描述为“简单而残酷”：

- Kubernetes + 伊朗：部署DaemonSet，清除集群中所有节点
- Kubernetes + 其他地区：部署DaemonSet，在所有节点安装CanisterWorm后门
- 无Kubernetes + 伊朗：执行rm -rf / --no-preserve-root（系统擦除）
- 无Kubernetes + 其他地区：退出，无操作

TeamPCP针对目前与美国处于冲突状态的伊朗，这一行为与其过往以经济利益为导向的攻击模式不符。埃里克森表示，Aikido尚未明确其动机，但推测可能包含意识形态因素，或为刻意提升组织知名度。

“历史上TeamPCP似乎以财务收益为目标，但已有迹象表明，可见度正成为其目标之一，”埃里克森写道，“通过攻击安全工具和开源项目（包括今日的Checkmarx），他们正发出明确且刻意的信号。”

此次攻击源于2月底对Aqua Security的供应链入侵。该公司虽已启动应急响应并尝试更换所有受损凭据，但轮换不完整，导致TeamPCP得以控制用于分发漏洞扫描工具Trivy的GitHub账户。Aqua Security表示已启动更彻底的凭据清理程序。