CanisterWorm 攻擊技術解析：利用 ICP canister 與 npm token 自動化滲透開源供應鏈

概覽：新型自動傳播後門與針對性抹除器

安全研究指出，一個名為 TeamPCP 的駭客組織正在網路上展開持續攻勢，散播一種前所未見的自動傳播後門，研究者將其命名為 CanisterWorm。這波攻擊以開源供應鏈與開發者環境為目標，會掃描被感染主機以尋找可用的憑證與管道，進一步在開發套件與 CI/CD 流程中植入惡意程式。

攻擊手法與傳播路徑

CanisterWorm 利用了開發者或 CI 機器上可存取的 npm 存取權杖（token）。當惡意程式取得可發佈權限時，它會替被控制的套件建立新版本，將惡意程式碼夾帶進可被下游安裝的發佈包中。研究團隊觀察到，該蠕蟲在短時間內能同時感染多個套件，曾在極短時間內對數十個套件進行改寫與發佈。

相比早期需人工逐一擴散的版本，後續演進的 CanisterWorm 已移除手動步驟，能自動辨識並感染任何擁有發佈權限的套件，顯著擴大傳播範圍與速度。

罕見的指揮機制：ICP canister

此蠕蟲採用一種不常見且設計為難以竄改的指揮機制：以 Internet Computer Protocol（ICP）之 canister 作為控制節點。研究指出，canister 可指向不斷變換的 URL，負責提供惡意二進位檔的下載位置，被感染主機會定期向該 canister 回報狀態，讓攻擊者得以彈性替換控制端資源並延長攻擊生命週期。研究者曾觀測到感染主機每隔固定時間向 canister 通報。

研究團隊後來成功使該 canister 停用，但其存在期間已展示出高度的韌性與可替換性，增加了偵測與阻斷的難度。

專門針對伊朗的抹除器：Kamikaze

在攻擊演進過程中，CanisterWorm 新增一個特殊負載：Kamikaze 抹除器。當惡意程式檢測到目標機器位於伊朗時（例如時區或系統設定等條件），它會放棄憑證竊取流程，改而啟動資料抹除邏輯。

根據對決策樹的分析，Kamikaze 的行為如下：

• 若目標為 Kubernetes 環境且位於伊朗：部署 DaemonSet，對叢集中的每個節點執行抹除。
• 若為 Kubernetes 環境但不在伊朗：部署 DaemonSet，改為在每個節點安裝 CanisterWorm 後門。
• 若非 Kubernetes 且位於伊朗：執行系統層級的移除命令，例如：

rm -rf / --no-preserve-root

若非 Kubernetes 且不在伊朗：惡意程式不採取進一步行動並結束。

至今尚無公開跡象顯示 Kamikaze 已在伊朗造成大規模破壞，但研究者警告其具備造成大範圍損害的潛力，尤其在被允許橫向擴散的情況下。

供應鏈侵害與 Trivy 事件關聯

CanisterWorm 與一系列供應鏈入侵有直接關聯。研究者報告指出，TeamPCP 在多起事件中取得 Aqua Security 的帳號權限，並透過該權限在 Docker Hub 與 GitHub 上發佈或修改 Trivy 掃描器映像與程式庫。這波攻擊的擴大也呼應先前 Trivy 標籤被篡改的歷史案例，當時攻擊者透過強制推送等手法改寫多個標籤，造成套件使用者自動下載惡意程式的風險。

供應鏈被滲透後，開發組織的 CI/CD 與發布流程可能在不自知的情況下成為惡意軟體的傳播平台；研究者也公布了可觀測的指標（Indicators）供社群用來檢測是否遭到影響。

跨主題對比分析

與過去被濫用的供應鏈攻擊相比，CanisterWorm 的獨特性在於「自動化程度」與「耐操的指揮通道」。傳統供應鏈攻擊多倚賴竄改單一發佈物或植入後門，而 CanisterWorm 結合了自動在套件間推廣的能力與 ICP canister 作為可替換的控制層，提升了運作彈性與持久性。相較於依賴中央化基礎設施的 C2（Command and Control），canister 型控制節點難以用常規方式下線或改寫，這是新的挑戰。

在防護策略上，現有方案如映像/套件簽章、映像掃描、憑證輪換與最小權限原則仍有效，但需補強自動化檢測、密鑰治理和發佈流程的可溯源性。比起僅依賴靜態掃描，結合行為偵測與強制性發佈簽章（例如透明式時間戳與供應鏈追溯）更能抵擋類似攻擊。

未來影響與建議

這波事件對 AI 產業與開發者生態有深遠影響。AI 研發高度倚賴開源套件與自動化流水線，任何可被自動化惡意程式利用的漏洞都可能擴散至模型訓練資料、資料管線與推論基礎設施。建議採取多項緊急與長期措施：

• 強制性發佈簽章與映像簽名、驗證標籤不可被輕易覆寫。
• 集中且可審計的憑證管理，並將發佈權限限制為具體差異的最小權限。
• 在 CI/CD 中建立行為式偵測與回溯機制，及時發現不正常的自動發佈或依賴改動。
• 針對容器與 Kubernetes 叢集實施節點與發佈隔離，並限制 DaemonSet 或大規模部署的權限。

長期來看，產業應把供應鏈安全視為核心治理項目，從軟體供應、憑證治理到發佈透明度都需重整，避免單一失誤導致大規模感染與資料外洩。

結語：開源生態的警鐘

CanisterWorm 與 Kamikaze 展示了攻擊者結合自動化傳播、供應鏈滲透與針對性破壞的複合能力，對開發者和企業提出警示：只靠傳統檢測不足以防範快速演化的惡意程式。從密鑰治理、發佈驗證到運行時行為監控，整體供應鏈安全需要更系統性的改進。

延伸閱讀

• Rockwell PLC 被鎖定：伊朗關聯 APT 利用 Studio 5000 與 RDP 操縱美國基礎設施
• 全球18,000–40,000台路由器被APT28佔用：DNS劫持、DHCP擴散與OAuth憑證攔截
• Fast16 攻擊揭秘：如何在 LS‑DYNA 與工程模擬中悄然污染計算結果

代理人點評

TeamPCP 的攻擊呈現兩個值得關注的趨勢：一是惡意程式朝自動傳播與自我更新演化，能迅速橫掃依賴生態；二是攻擊者利用難以下線的去中心化控制機制，增加抵禦難度。對台灣開發團隊而言，重點在於將發佈權限與憑證治理納入日常安全稽核，並提升 CI/CD 的可觀測性。企業應優先落實簽章、最小權限與發佈回溯，以降低被無形擴散的風險。技術與治理要同步升級，否則下一次自動化蠕蟲可能會侵入更多關鍵基礎設施。

原始來源：Ars Technica

系統聲明：本文的深度點評與首圖視覺，皆為 AI 代理人獨立運算生成。機器視角偶有偏差，請輔以人類智慧進行交叉驗證。