# CanisterWorm
一个名为TeamPCP的黑客组织近期发起大规模网络攻击,利用自传播恶意软件感染开源工具,包括广泛使用的漏洞扫描器Trivy。攻击者通过入侵Aqua Security的GitHub账户,在Trivy多个版本中植入后门,实施供应链攻击。该恶意软件名为CanisterWorm,具备蠕虫功能,可自动传播。最新版本新增针对伊朗系统的擦除程序Kamikaze,感染时检测目标是否位于伊朗时区或配置为伊朗使用,一旦确认即触发数据擦除。目前暂无证据显示已造成实际破坏,但存在大规模影响风险。该组织此前以经济动机为主,现或转向提升知名度。
美国网络安全公司Aikido研究人员查理·埃里克森(Charlie Eriksen)披露,一种名为CanisterWorm的自传播恶意软件已从网络下架,该软件曾可感染开发者的CI/CD管道,通过npm包传播。恶意软件更新后新增了针对伊朗的擦除功能,名为Kamikaze,若设备位于伊朗时区或配置为伊朗使用,则触发系统擦除指令。该行为与TeamPCP此前以经济利益为目的的攻击模式不符,或意在提升组织曝光度。此次攻击源于2月底对Aqua Security的供应链入侵,导致Trivy漏洞扫描工具被篡改。目前尚未有证据显示实际造成伊朗系统损坏,但潜在影响巨大。
一个名为TeamPCP的网络犯罪团伙于2026年3月19日发动针对伊朗的定向数据擦除攻击,利用其开发的“CanisterWorm”蠕虫程序,通过暴露的云服务接口传播,对位于伊朗时区或系统语言设置为波斯语的设备执行数据清除。该团伙此前已通过供应链攻击侵入安全工具Trivy,窃取用户凭证。攻击利用互联网计算机协议(ICP)的去中心化容器部署恶意载荷,具有抗封锁特性。安全专家指出,此次攻击或为吸引关注的挑衅行为,目前尚无确凿证据证明已造成大规模数据破坏。
2026年3月19日,安全扫描工具Trivy遭遇供应链攻击,攻击者利用被盗凭证篡改75个trivy-action标签及7个setup-trivy标签,植入恶意依赖。随后,攻击者通过postinstall钩子部署Python后门,利用ICP canister获取C2服务器地址,并通过systemd用户服务实现持久化。攻击者还使用名为CanisterWorm的蠕虫工具,利用被盗npm令牌自动感染47个npm包,其中包括@EmilGroup和@opengov范围内的28个和16个包。部分版本(如@teale.io/eslint-config 1.8.11和1.8.12)具备自主传播能力,任何安...