Lajme

Malware IronWorm infekton 36 paketa në sulmin e zinxhirit të furnizimit npm

Një sulm i ri në zinxhirin e furnizimit të npm ka përhapur një program dëmues të bazuar në Rust, i njohur si IronWorm, në 36 paketa të ndryshme. Sipas raportit të BleepingComputer, ky infostealer synon 86 variabla mjedisorë dhe 20 skedarë kredencialesh, përfshirë çelësa për OpenAI, AWS, Anthropic, npm, skedarë konfigurimi për Vault, çelësa SSH dhe kartela e portofolit kriptografik Exodus.

Hulumtuesit e kompanisë JFrog, e cila merret me sigurinë e zinxhirit të furnizimit dhe DevOps, kanë zbuluar se IronWorm është shkruar në Rust, fshihet pas një rootkit-i eBPF në kernel dhe komunikon me operatorin përmes rrjetit Tor. Programi vetëpërhapet duke përdorur kredencialet e vjedhura për të publikuar paketa të modifikuara në npm, duke përfshirë sekrete të lidhura me procesin “Trusted Publishing” të npm. Kur arrin të komprometojë një zhvillues ose mjedis CI, mund të ngarkojë versione trojanë të paketave që i përkasin viktimës, duke i infektuar kështu zhvillues të tjerë dhe sisteme CI.

Sipas JFrog, sjellja e IronWorm ngjanë me atë të “Shai Hulud”, një tjetër kod i publikuar së fundmi në GitHub, edhe pse hulumtuesit nuk kanë gjetur një lidhje të drejtpërdrejtë. Përmendet, megjithatë, se të dyja sulmet përdorin emra të njëjtë komitësh, çka sugjeron se IronWorm mund të jetë një evolucion i ngarkesës së ekipit TeamPCP. JFrog ka publikuar listën e paketave të prekur dhe versionet e tyre, duke këshilluar zhvilluesit të përditësojnë në versionet e rregulluara, të rrotullojnë çelësat e tyre dhe të aktivizojnë autentifikimin dyfaktorësh (2FA) për të gjitha llogaritë. Në të njëjtën kohë, Endor Labs dhe StepSecurity kanë identifikuar një sulm të ngjashëm, por me një malware JavaScript i quajtur binding.gyp, i cili kryen helmimin e regjistrave dhe infektimin e GitHub Actions në periudhën e njëjtë.