Cybercriminelen van de groep TeamPCP hebben een gevaarlijke aanval uitgevoerd op Trivy, een veelgebruikte beveiligingstool. De aanvallers gebruikten gestolen inloggegevens om kwaadaardige code te verspreiden. Hierdoor zijn 75 versies van Trivy besmet geraakt. Ontwikkelaars die deze versies gebruikten, riskeerden diefstal van gevoelige gegevens zoals GitHub-tokens, SSH-sleutels en cloudwachtwoorden.
De aanval verspreidde zich ook naar npm-pakketten. De aanvallers gebruikten een zogenoemde ‘postinstall hook’ om een Python-backdoor te installeren. Deze backdoor maakt contact met een ICP canister, een nieuwe methode om een command-and-control-server te bereiken. Dit is de eerste keer dat onderzoekers dit soort misbruik publiekelijk hebben gedocumenteerd. In totaal raakten 44 npm-pakketten besmet, waaronder 28 van @EmilGroup en 16 van @opengov.
Bijzonder gevaarlijk is de zelfverspreiding van de worm, die de naam CanisterWorm heeft gekregen. Elke ontwikkelaar of CI-pipeline die een besmet pakket installeert en een npm-token beschikbaar heeft, verspreidt de worm onbewust verder. De nieuwste versie van CanisterWorm verspreidt zich zelfs automatisch, zonder handmatige tussenkomst. Trivy-beheerder Itay Shakury raadt iedereen die een besmette versie gebruikte aan om alle pipeline-geheimen direct te vervangen. Alle nieuwste Trivy-releases zijn inmiddels veilig.
