Etter kompromitteringen av Trivy-relaterte releases er det nå avdekket en videre supply-chain-kampanje der skadekode spredte seg til minst 47 npm-pakker via en orm kalt CanisterWorm.
Det mest uvanlige grepet er bruk av ICP-canister på Internet Computer som «dead drop resolver» for C2-lenker. Det gjør infrastrukturen mer robust mot nedtakning og lar angriperne bytte nyttelast dynamisk uten å endre implantatet lokalt.
Ifølge funnene skjer spredningen både gjennom stjålne tokens og…
Ifølge funnene skjer spredningen både gjennom stjålne tokens og nyere varianter som forsøker å hente npm-tokens under postinstall. Dermed kan et kompromiss i utviklermiljø raskt eskalere til bredere påvirkning i avhengighetskjeder.
For virksomheter er prioriteten å blokkere berørte pakkeversjoner, rotere tokens, revalidere CI/CD-hemmeligheter og kjøre full gjennomgang av bygg som brukte Trivy-action eller rammede npm-pakker.