Eine hochgefährliche Schadsoftware namens CanisterWorm hat ihre Angriffsziele dramatisch erweitert. Nachdem sie zunächst Entwickler-Konten kompromittierte, zerstört eine neue Variante nun gezielt Daten in iranischen Kubernetes-Clustern. Dieser Schritt von Spionage zu Sabotage unterstreicht die zunehmende Vermischung von Cyberkriminalität und geopolitischen Konflikten.

Anzeige

Angriffe wie CanisterWorm zeigen, dass herkömmliche Sicherheitsmaßnahmen oft nicht ausreichen, um komplexe IT-Infrastrukturen zu schützen. Dieser kostenlose Leitfaden zeigt, wie Sie Ihr Unternehmen mit einfachen, aber effektiven Maßnahmen vor modernen Bedrohungen absichern. IT-Sicherheit stärken ohne teure neue Mitarbeiter einzustellen

Von gestohlenen Zugangsdaten zur systemischen Infektion

Die Kampagne begann am 19. März mit einem Angriff auf das Sicherheitstool Trivy des Anbieters Aqua Security. Die als TeamPCP identifizierte Gruppe nutzte gestohlene Zugangsdaten, um bösartige Updates für die Open-Source-Software auf GitHub und im npm-Ökosystem zu verbreiten. Sobald ein Entwickler ein infiziertes Paket installiert, schleust CanisterWorm eine Python-Backdoor ein.

Diese sammelt aggressiv sensible Daten ein: npm-Tokens, Cloud-Zugänge von AWS, GCP und Azure, SSH-Schlüssel und Kubernetes-Berechtigungen. Ein Selbstvervielfältigungsmodul nutzt diese gestohlenen Tokens dann, um alle Pakete des kompromittierten Nutzers mit schädlichen Updates zu verseuchen. So verwandelte ein einzelner gehackter Account sich in eine Startrampe für Dutzende weiterer infizierter Pakete – eine klassische Supply-Chain-Attacke.

Eskalation: Gezielte Zerstörung in Iran

Am 23. März bestätigten Sicherheitsforscher eine gefährliche Weiterentwicklung. CanisterWorm wurde mit einer zerstörerischen „Kamikaze“-Wiper-Funktion ausgestattet. Diese sucht gezielt nach Systemen, die für den Iran konfiguriert sind – erkennbar an der Zeitzone „Asia/Tehran“ oder Farsi als Standardsprache.

Wird ein solches System mit Zugriff auf einen Kubernetes-Cluster gefunden, startet die Malware einen Angriff mit verheerenden Folgen: Sie löscht alle Dateien und bringt das System zum Absturz. Für Systeme außerhalb des Irans installiert sie hingegen weiterhin nur die Spionage-Backdoor. Diese gezielte Sabotage markiert eine neue Eskalationsstufe und verleiht der Kampagne eine klare geopolitische Dimension.

Anzeige

Besonders perfide Hacker-Methoden und psychologische Angriffsmuster führen aktuell zu Rekordschäden in deutschen Unternehmen. Der kostenlose Experten-Guide zeigt Ihnen in 4 Schritten, wie Sie Ihre Organisation wirksam vor Phishing und Schadsoftware schützen. In 4 Schritten zur erfolgreichen Hacker-Abwehr

Blockchain-C2 und Tarnung als legitime Software

Besonders herausfordernd für die Abwehr ist die dezentrale Steuerung der Malware. CanisterWorm nutzt einen Blockchain-basierten „Canister“ auf dem Internet Computer Protocol (ICP) für die Kommunikation mit ihren Betreibern. Dies macht es nahezu unmöglich, die Kommandozentrale stillzulegen, da es keinen zentralen Server gibt, den Behörden beschlagnahmen könnten.

Zudem tarnt sich die Schadsoftware geschickt. Sie gibt sich als legitimes PostgreSQL-Tool mit Namen wie pgmon aus und verwendet Sandbox-Erkennungstechniken, um unentdeckt zu bleiben. Die anfängliche Kompromittierung von Trivy nutzte veränderbare Git-Tags, so dass selbst CI/CD-Pipelines, die auf diese Tags vertrauten, weiterhin bösartigen Code ausführten.

Was bedeutet das für Unternehmen und Entwickler?

Der CanisterWorm-Angriff offenbart fundamentale Schwachstellen in modernen Software-Lieferketten. Die Fähigkeit, vertrauenswürgige Konten zu übernehmen und dezentrale Infrastruktur zu nutzen, stellt Sicherheitsteams vor immense Herausforderungen. Die Entwicklung hin zu geopolitisch motivierter Sabotage zeigt eine bedrohliche neue Dynamik.

Experten raten zu dringenden Schutzmaßnahmen:
* Starke Mehr-Faktor-Authentifizierung für alle Entwicklerkonten.
* Kritische Prüfung von Abhängigkeiten von Drittanbietern.
* Pinning von Dependencies auf unveränderliche Commit-Hashes statt auf variable Version-Tags.
* Regelmäßige Audits der CI/CD-Konfiguration auf verdächtige Aktivitäten.\
* Überwachung auf ungewöhnliche Dienstnamen wie pgmon im Netzwerk.

Die Zukunft der Software-Supply-Chain-Sicherheit sieht komplex aus. Angriffe auf Identitäten und die Ausnutzung von Architektur-Schwachstellen in Cloud-Umgebungen werden voraussichtlich zunehmen. Proaktive Sicherheit, kontinuierliche Wachsamkeit und der Austausch von Bedrohungsinformationen bleiben entscheidend, um digitale Ökosysteme zu schützen.