Pesquisadores de cibersegurança descobriram uma nova campanha de malware mirando desenvolvedores de criptomoedas por meio de cadeias de suprimento de software. O malware, conhecido como IronWorm, é um infostealer escrito em Rust, projetado para coletar credenciais de carteiras, chaves de serviços em nuvem e tokens de autenticação do GitHub. As empresas de segurança SlowMist e JFrog Security Research compartilharam as conclusões em 4 de junho de 2026, revelando que o IronWorm se espalha por canais confiáveis de distribuição de software, permitindo que um único pacote comprometido afete múltiplos projetos. O malware contorna processos tradicionais de revisão de código ao se embutir em pacotes npm com aparência legítima. Essa descoberta destaca o crescimento do risco de ataques à cadeia de suprimentos voltados para criptomoedas, IA e ambientes de desenvolvimento open-source.
IronWorm Distribuído Através de Pacotes npm Maliciosos
A investigação da JFrog revelou que o IronWorm foi distribuído por pacotes npm associados a uma conta identificada como asteroiddao. Os atacantes enviaram pacotes que pareciam legítimos, enquanto embutiam secretamente malware baseado em Linux dentro dos arquivos de instalação. O processo de infecção foi acionado automaticamente via scripts npm de preinstall, o que significa que desenvolvedores poderiam, sem saber, comprometer seus sistemas ao instalar o que parecia ser um pacote normal de software.
Um pacote que chamou atenção durante a investigação foi @email, que apresentou comportamento suspeito durante a execução. A análise revelou múltiplas técnicas voltadas a dificultar detecção e esforços de engenharia reversa, incluindo strings criptografadas, uma versão personalizada da ferramenta de empacotamento UPX e estruturas complexas de código Rust desenhadas para ocultar a funcionalidade do malware. Após desempacotar o código, os pesquisadores descobriram módulos ligados a APIs do GitHub, atividades de roubo de credenciais e mecanismos que apoiavam a autorreplicação.
Os pesquisadores relataram que o IronWorm não apenas rouba credenciais, mas também pode modificar repositórios de software e republicar pacotes comprometidos. Esse comportamento de autopropagação cria um ciclo em que contas de desenvolvedores comprometidas são usadas para distribuir pacotes maliciosos adicionais, permitindo que o malware amplie seu alcance entre projetos open-source e aplicações Web3 sem exigir interação direta dos atacantes.
IronWorm Mirando Credenciais de Desenvolvedores e Usando Técnicas de Discrição
Os pesquisadores afirmaram que o IronWorm mira credenciais em uma ampla variedade de ambientes de desenvolvimento. O malware busca acesso a plataformas em nuvem como AWS, tecnologias de contêineres incluindo Kubernetes e Docker, ambientes de desenvolvimento de inteligência artificial e carteiras de criptomoedas. Os investigadores constataram que o malware mira especificamente usuários da carteira Exodus ao tentar capturar senhas e frases de recuperação à medida que são inseridas.
A JFrog descobriu 57 commits fraudulentos distribuídos por nove organizações. Essas mudanças foram disfarçadas como atualizações rotineiras de manutenção e atribuídas a identidades automatizadas confiáveis, como claude, dependabot e github-actions. Essa tática ajudou a atividade maliciosa a se misturar aos processos legítimos de desenvolvimento de software.
Para manter persistência e evitar detecção, o IronWorm implanta um rootkit eBPF capaz de ocultar processos ativos e comunicações de rede. Os pesquisadores observaram que o malware usa infraestrutura baseada em Tor para comunicações de comando e controle e exfiltração de dados, tornando seu tráfego de rede significativamente mais difícil de rastrear. Apesar de suas capacidades avançadas, os investigadores identificaram erros operacionais por parte dos atacantes, incluindo informações de depuração deixadas dentro do malware e uma frase de recuperação de carteira hardcoded que foi exposta.
Ataques à Cadeia de Su suprimentos Miram Ecossistemas de Desenvolvimento de Criptomoedas
A descoberta do IronWorm segue vários incidentes semelhantes reportados ao longo do ano. Em maio, pesquisadores identificaram a campanha TrapDoor, que explorou pacotes maliciosos em npm, PyPI e Crates.io para atingir desenvolvedores que trabalham com criptomoedas, finanças descentralizadas, inteligência artificial e setores de cibersegurança.
A SlowMist alertou sobre outro tipo de malware conhecido como Mini Shai-Hulud, que infectou mais de 170 pacotes JavaScript. Especialistas em segurança observaram que o malware se espalhou por bibliotecas open-source amplamente usadas, aumentando a exposição potencial por todo o ecossistema de software. No início deste ano, atacantes comprometeram releases do pacote Axios após obter acesso às credenciais de publicação.
FAQ
O que é o malware IronWorm?
O IronWorm é um infostealer em Rust que mira desenvolvedores de criptomoedas por meio de cadeias de suprimento de software. As empresas de segurança SlowMist e JFrog Security Research reportaram em 4 de junho de 2026 que o malware coleta credenciais de carteiras, chaves de serviços em nuvem e tokens de autenticação do GitHub ao se espalhar por pacotes npm.
Como o IronWorm se espalha entre ambientes de desenvolvimento?
O IronWorm se espalha por pacotes npm maliciosos enviados por uma conta identificada como asteroiddao. O malware usa scripts de preinstall do npm para acionar infecções automáticas e pode modificar repositórios de software para republicar pacotes comprometidos, criando um ciclo autorreplicante entre projetos open-source.
Que técnicas o IronWorm usa para evitar detecção?
O IronWorm usa strings criptografadas, uma ferramenta de empacotamento UPX personalizada e estruturas complexas de código Rust para dificultar a engenharia reversa. O malware implanta um rootkit eBPF para ocultar processos e comunicações de rede e usa infraestrutura baseada em Tor para operações de comando e controle.
