Исследователи по кибербезопасности обнаружили новую кампанию вредоносного ПО, нацеленную на разработчиков криптовалют через цепочки поставок ПО. Известное как IronWorm, это инфостилер на базе Rust, предназначенный для сбора учетных данных кошельков, ключей облачных сервисов и токенов аутентификации GitHub. Фирмы по безопасности SlowMist и JFrog Security Research поделились результатами 4 июня 2026 года, сообщив, что IronWorm распространяется через доверенные каналы дистрибуции ПО, позволяя одному скомпрометированному пакету затрагивать несколько проектов. Вредоносное ПО обходит традиционные процессы code review, встраиваясь в npm-пакеты, выглядящие легитимно. Это открытие подчеркивает растущую угрозу атак на цепочки поставок, ориентированных на криптовалюту, ИИ и среды разработки open-source.
IronWorm Distributed Through Malicious npm Packages
Расследование JFrog показало, что IronWorm распространялся через npm-пакеты, связанные с аккаунтом, идентифицированным как asteroiddao. Злоумышленники загружали пакеты, которые выглядели правдоподобно, тайно встраивая Linux-вредоносное ПО в установочные файлы. Процесс заражения запускался автоматически через npm preinstall scripts, то есть разработчики могли непреднамеренно скомпрометировать свои системы, устанавливая то, что выглядело как обычный пакет ПО.
Один пакет, привлекший внимание в ходе расследования, был [email protected], который проявлял подозрительное поведение при выполнении. Анализ выявил несколько техник, направленных на затруднение обнаружения и попыток реверс-инжиниринга, включая зашифрованные строки, кастомизированную версию инструмента упаковки UPX и сложные структуры кода на Rust, созданные для сокрытия функциональности вредоносного ПО. После распаковки кода исследователи обнаружили модули, связанные с GitHub APIs, действиями по хищению учетных данных и механизмами, поддерживающими самовоспроизведение.
Сообщалось, что IronWorm не только крадет учетные данные, но и может модифицировать репозитории ПО и заново публиковать скомпрометированные пакеты. Такое самораспространяющееся поведение создает цикл, в котором скомпрометированные учетные записи разработчиков используются для распространения дополнительных вредоносных пакетов, позволяя вредоносному ПО расширять охват по open-source проектам и Web3-приложениям без прямого взаимодействия со стороны злоумышленников.
IronWorm Targets Developer Credentials and Uses Stealth Techniques
Исследователи заявили, что IronWorm нацелен на учетные данные в широком спектре сред разработки. Вредоносное ПО стремится получить доступ к облачным платформам, таким как AWS, технологиям контейнеризации, включая Kubernetes и Docker, средам разработки искусственного интеллекта и кошелькам для криптовалют. В ходе расследований было обнаружено, что вредоносное ПО точечно нацеливается на пользователей кошелька Exodus, пытаясь перехватить пароли и recovery phrases по мере их ввода.
JFrog выявил 57 мошеннических коммитов, распределенных по девяти организациям. Эти изменения были замаскированы под рутинные обновления для обслуживания и приписывались доверенным автоматизированным идентичностям, таким как claude, dependabot и github-actions. Этот прием помогал вредоносной активности сливаться с легитимными процессами разработки ПО.
Чтобы сохранять присутствие и избегать обнаружения, IronWorm разворачивает eBPF rootkit, способный скрывать активные процессы и сетевые коммуникации. Исследователи отметили, что вредоносное ПО использует инфраструктуру на базе Tor для командно-управляющих коммуникаций и эксфильтрации данных, из-за чего его сетевой трафик значительно сложнее отследить. Несмотря на продвинутые возможности, следователи выявили операционные ошибки со стороны злоумышленников, включая оставленную внутри вредоносного ПО отладочную информацию и одну захардкоженную фразу восстановления кошелька, которая оказалась раскрыта.
Supply Chain Attacks Target Cryptocurrency Development Ecosystems
Обнаружение IronWorm следует за несколькими похожими инцидентами, о которых сообщалось в течение года. В мае исследователи выявили кампанию TrapDoor, которая задействовала вредоносные пакеты в npm, PyPI и Crates.io для атаки разработчиков, работающих в секторах криптовалют, децентрализованных финансов, искусственного интеллекта и кибербезопасности.
SlowMist предупреждала о еще одной разновидности вредоносного ПО, известной как Mini Shai-Hulud, которая заразила более 170 JavaScript-пакетов. Эксперты по безопасности отмечали, что вредоносное ПО распространялось через широко используемые библиотеки open-source, повышая потенциальную подверженность по всей экосистеме ПО. Ранее в этом году злоумышленники скомпрометировали релизы пакета Axios после получения доступа к учетным данным для публикации.
FAQ
What is IronWorm malware?
IronWorm — это инфостилер на базе Rust, который нацелен на разработчиков криптовалют через цепочки поставок ПО. Фирмы SlowMist и JFrog Security Research сообщили 4 июня 2026 года, что вредоносное ПО собирает учетные данные кошельков, ключи облачных сервисов и токены аутентификации GitHub, распространяясь через npm-пакеты.
How does IronWorm spread across development environments?
IronWorm распространяется через вредоносные npm-пакеты, загруженные аккаунтом, идентифицированным как asteroiddao. Вредоносное ПО использует npm preinstall scripts для запуска автоматических заражений и может модифицировать репозитории ПО, чтобы заново публиковать скомпрометированные пакеты, создавая цикл самораспространения по open-source проектам.
What techniques does IronWorm use to avoid detection?
IronWorm использует зашифрованные строки, кастомизированный инструмент упаковки UPX и сложные структуры кода на Rust, чтобы затруднить реверс-инжиниринг. Вредоносное ПО развертывает eBPF rootkit, чтобы скрывать процессы и сетевые коммуникации, а также использует инфраструктуру на базе Tor для операций командно-управляющей связи.
