Des chercheurs en cybersécurité ont découvert une nouvelle campagne de logiciels malveillants visant les développeurs de cryptomonnaies via des chaînes d’approvisionnement logicielles. Connu sous le nom d’IronWorm, le malware, basé sur Rust, est un voleur d’informations (infostealer) conçu pour collecter des identifiants de portefeuilles, des clés de services cloud et des jetons d’authentification GitHub. Les sociétés de sécurité SlowMist et JFrog Security Research ont partagé leurs conclusions le 4 juin 2026, révélant qu’IronWorm se propage via des canaux de distribution de logiciels de confiance, permettant à un seul paquet compromis d’affecter plusieurs projets. Le malware contourne les processus traditionnels d’examen du code en s’insérant dans des packages npm d’apparence légitime. Cette découverte met en évidence la menace croissante des attaques sur la chaîne d’approvisionnement visant la cryptomonnaie, l’IA et les environnements de développement open-source.
IronWorm Distribué Via des Paquets npm Malveillants
L’enquête de JFrog a révélé qu’IronWorm était distribué via des packages npm associés à un compte identifié comme asteroiddao. Les attaquants ont mis en ligne des packages qui semblaient légitimes tout en intégrant secrètement un malware basé sur Linux dans les fichiers d’installation. Le processus d’infection était déclenché automatiquement via des scripts npm preinstall, ce qui signifie que les développeurs pouvaient, sans le savoir, compromettre leurs systèmes en installant ce qui ressemblait à un paquet logiciel normal.
Un package ayant attiré l’attention pendant l’investigation était [email protected], qui affichait un comportement suspect lors de son exécution. L’analyse a révélé plusieurs techniques destinées à entraver la détection et les efforts de rétro-ingénierie, notamment des chaînes chiffrées, une version personnalisée de l’outil de packing UPX, et des structures complexes de code Rust conçues pour dissimuler la fonctionnalité du malware. Après dépackage du code, les chercheurs ont découvert des modules liés aux API GitHub, des activités de moissonnage de données d’identification, ainsi que des mécanismes prenant en charge l’auto-réplication.
Les chercheurs ont indiqué qu’IronWorm ne vole pas seulement des identifiants, mais peut aussi modifier des dépôts logiciels et republier des packages compromis. Ce comportement auto-propagateur crée un cycle dans lequel des comptes développeurs compromis sont utilisés pour distribuer des paquets malveillants supplémentaires, permettant au malware d’étendre sa portée sur les projets open-source et les applications Web3 sans nécessiter d’interaction directe de la part des attaquants.
IronWorm Cible des Identifiants de Développeur et Utilise des Techniques de Discrétion
Les chercheurs ont déclaré qu’IronWorm cible des identifiants dans un large éventail d’environnements de développement. Le malware cherche à obtenir l’accès à des plateformes cloud telles que AWS, à des technologies de conteneurs incluant Kubernetes et Docker, à des environnements de développement pour l’intelligence artificielle, ainsi qu’à des portefeuilles de cryptomonnaies. Les enquêteurs ont constaté que le malware cible spécifiquement les utilisateurs du wallet Exodus en tentant de capturer les mots de passe et les phrases de récupération au moment de leur saisie.
JFrog a découvert 57 commits frauduleux répartis sur neuf organisations. Ces changements étaient déguisés en mises à jour de maintenance de routine et attribués à des identités automatisées de confiance telles que claude, dependabot et github-actions. Cette tactique a permis aux activités malveillantes de mieux se fondre dans les processus légitimes de développement logiciel.
Pour maintenir la persistance et éviter la détection, IronWorm déploie un rootkit eBPF capable de masquer les processus actifs et les communications réseau. Les chercheurs ont noté que le malware s’appuie sur une infrastructure basée sur Tor pour les communications de commande et contrôle et pour l’exfiltration des données, rendant ainsi le trafic réseau nettement plus difficile à retracer. Malgré ses capacités avancées, les enquêteurs ont identifié des erreurs opérationnelles commises par les attaquants, notamment des informations de débogage laissées dans le malware et une phrase de récupération de portefeuille codée en dur qui a été exposée.
Attaques sur la Chaîne d’Approvisionnement Visant les Écosystèmes de Développement de la Cryptomonnaie
La découverte d’IronWorm fait suite à plusieurs incidents similaires signalés au cours de l’année. En mai, les chercheurs ont identifié la campagne TrapDoor, qui exploitait des packages malveillants sur npm, PyPI et Crates.io pour cibler des développeurs travaillant dans la cryptomonnaie, la finance décentralisée, l’intelligence artificielle et les secteurs de la cybersécurité.
SlowMist a averti d’une autre souche de malware connue sous le nom de Mini Shai-Hulud, qui a infecté plus de 170 packages JavaScript. Des experts en sécurité ont indiqué que le malware se propageait via des bibliothèques open-source largement utilisées, augmentant l’exposition potentielle dans l’écosystème logiciel. Plus tôt cette année, des attaquants ont compromis des versions du package Axios après avoir obtenu un accès aux identifiants de publication.
FAQ
Qu’est-ce que le malware IronWorm ?
IronWorm est un voleur d’informations basé sur Rust qui cible les développeurs de cryptomonnaies via des chaînes d’approvisionnement logicielles. Les sociétés de sécurité SlowMist et JFrog Security Research ont rapporté le 4 juin 2026 que le malware collecte des identifiants de portefeuilles, des clés de services cloud et des jetons d’authentification GitHub en se propageant via des packages npm.
Comment IronWorm se propage-t-il dans les environnements de développement ?
IronWorm se propage via des packages npm malveillants téléversés par un compte identifié comme asteroiddao. Le malware utilise des scripts npm preinstall pour déclencher des infections automatiques et peut modifier des dépôts logiciels afin de republier des packages compromis, créant ainsi une boucle d’auto-propagation à travers des projets open-source.
Quelles techniques IronWorm utilise-t-il pour éviter la détection ?
IronWorm utilise des chaînes chiffrées, un outil de packing UPX personnalisé et des structures complexes de code Rust pour entraver la rétro-ingénierie. Le malware déploie un rootkit eBPF pour masquer les processus et les communications réseau, et utilise une infrastructure basée sur Tor pour les opérations de commande et contrôle.
