CanisterWorm: O Malware Que Apaga Dados Iranianos

Um ataque sofisticado se espalha via pacotes npm e utiliza contratos inteligentes ICP para controle e extermínio.

Ameaça Incomum: O CanisterWorm

O CanisterWorm é um software auto-replicante que se destaca no mundo da cibersegurança por um motivo peculiar: ele apaga máquinas no Irã sem motivo aparente, usando um mecanismo de controle inovador.

Quem é o TeamPCP?

  • O coletivo TeamPCP, surgido recentemente, já foi notado por ataques a infraestruturas de hospedagem em nuvem como Docker, Kubernetes, Redis e Next.js.
  • Seu objetivo principal é construir uma rede de proxy para lançar ataques de ransomware e extorsão.

CanisterWorm: O Limpador de Dados

  • A versão mais recente do software, CanisterWorm, apaga completamente o conteúdo de qualquer máquina iraniana que detecta, verificando o fuso horário do sistema.
  • Em hosts Kubernetes, ele exclui todas as máquinas do cluster.
  • VMs padrão sofrem um “rm -rf / –no-preserve-root” sem questionamentos.
  • Se a máquina não for iraniana, a infecção e a propagação continuam normalmente.

Motivação Desconhecida

Aparentemente, não há motivação imediata para a exclusão de dados, já que um host inoperante não serve para um parasita. Pesquisadores sugerem que o grupo pode estar “apenas exibindo” suas capacidades e pode ter acesso a um número muito maior de sistemas.

Como o Ataque Começou?

  • O ataque recente foi desencadeado por uma invasão ao software de scanner de vulnerabilidades de código aberto Trivy.
  • Pacotes Node.js (npm) que usavam Trivy tiveram suas credenciais de publicação roubadas.
  • A partir daí, o malware se espalhou para outros pacotes npm e configurou múltiplos processos em segundo plano, mascarados como serviços de sistema padrão.

Inovação Técnica: ICP Canister como C2

  • O que torna este ataque inovador é sua infraestrutura de comando e controle (C2), que usou um “dead drop” publicado em um ICP (Internet Computer Protocol) canister.
  • Um canister é um tipo de contrato inteligente, um conjunto de código e dados hospedado em blockchain, altamente resistente a ser derrubado devido à sua natureza distribuída.

O que é o ICP?

  • Ao contrário de blockchains de criptomoedas como Bitcoin ou Ethereum, os participantes do ICP passam por um rigoroso processo de identificação e fornecem hardware substancial.
  • Estima-se cerca de 1400 máquinas (metade ativas, metade em standby) em mais de 100 provedores de nós e 34 países.

Resistência à Desativação

  • Devido à natureza aberta do protocolo ICP, os canisters são operáveis apenas por seus criadores originais.
  • Embora o ICP aceite notificações de malware, elas estão sujeitas a um processo de votação com um limiar extremamente alto para desativação.
  • O TeamPCP provavelmente “desarmou” o canister devido à divulgação pública, mas ele pode ser reativado a qualquer momento. A mitigação real é um bloqueio em nível de rede ao endereço.
Baseado no artigo de Tom’s Hardware
  • 26/03/2026 - 08:00