گزارش جدیدی از Aikido Security نشان می‌دهد که بدافزار پیشرفته CanisterWorm، که ابتدا با هدف نفوذ طراحی شده بود، اکنون قابلیت تخریب گسترده سیستم‌ها را پیدا کرده و با تمرکز بر زیرساخت‌های ایران، از طریق زنجیره تأمین نرم‌افزار، به‌ویژه پکیج‌های npm، منتشر می‌شود.

به گزارش آی سی تی نیوز یک بدافزار پیشرفته با نام  CanisterWorm که توسط گروه TeamPCP توسعه یافته است، رویکرد خود را از جاسوسی به تخریب گسترده تغییر داده و تمرکز ویژه‌ای بر روی زیرساخت‌های کشور ایران پیدا کرده است. این بدافزار که از طریق زنجیره تأمین نرم‌افزار و به‌ویژه پکیج‌های موجود در npm منتشر می‌شود، توانایی شناسایی سیستم‌های هدف در ایران را از طریق بررسی شاخص‌هایی مانند `timezone` و `locale` دارد.

روش انتشار و کنترل پیچیده:

CanisterWorm با بهره‌گیری از زیرساخت‌های غیرمتمرکز مبتنی بر  بلاکچین (ICP) برای کنترل و اجرای دستورات، فرآیند شناسایی و مقابله با خود را بسیار دشوار می‌سازد. این روش نوین، ردگیری و مسدودسازی کانال‌های فرماندهی و کنترل را با چالش‌های جدی مواجه می‌کند.

فاز تخریب:

پس از نفوذ و شناسایی سیستم‌های ایرانی، CanisterWorm وارد فاز تخریبی خود می‌شود. در محیط‌های  Kubernetes  و ابری، این بدافزار قادر به پاک‌سازی کامل سیستم‌ها و از کار انداختن سرویس‌های حیاتی است. همچنین در سیستم‌های **لینوکسی**، با اجرای دستورات مخرب، اقدام به حذف کامل اطلاعات می‌کند.

تغییر رویکرد از جاسوسی به جنگ ترکیبی:

این سطح از تخریب، نشان‌دهنده تغییر استراتژی از جمع‌آوری اطلاعات به ایجاد اختلال عمیق در زیرساخت‌ها است. با توجه به شرایط فعلی، این تهدید می‌تواند به عنوان یکی از مولفه‌های **جنگ ترکیبی** تلقی شود و نیازمند توجه ویژه به **زیرساخت‌های حیاتی** کشور است.

آسیب‌پذیری پکیج‌های  npm:

پکیج‌های npm، اگرچه از رجیستری رسمی دریافت می‌شوند، اما امنیت کامل ندارند. مواردی از آلودگی به دلایل مختلف از جمله هک شدن حساب توسعه‌دهندگان، آلوده شدن وابستگی‌ها (dependencyها) یا انتشار پکیج‌های جعلی (typosquatting) گزارش شده است. این امر نشان می‌دهد که اعتماد صرف به منبع دانلود کافی نیست.

توصیه‌های امنیتی برای کاهش ریسک:

برای مقابله با تهدیدات مشابه و افزایش امنیت در زنجیره تأمین نرم‌افزار، توصیه می‌شود اقدامات زیر صورت گیرد:

• استفاده از فایل‌های lock مانند `package-lock.json` یا  `yarn.lock  برای تثبیت نسخه‌های دقیق وابستگی‌ها.
• بررسی منظم وابستگی‌ها با استفاده از ابزارهای امنیتی مانند Snyk  یا Trivy برای شناسایی آسیب‌پذیری‌ها.
• در محیط‌های حساس، دریافت و مدیریت پکیج‌ها از طریق یک رجیستری داخلی و مورد اعتماد.
• مانیتورینگ دقیق رفتار سیستم‌ها و اعمال محدودیت‌های لازم در سطح دسترسی‌ها (Principle of Least Privilege).

این گزارش بر اهمیت هوشیاری در برابر تهدیدات سایبری پیچیده و توجه به امنیت زنجیره تأمین نرم‌افزار تأکید می‌کند.