根据 Slow Mist 于 6 月 4 日的安全监控,一个名为 IronWorm 的新 Rust 供应链恶意软件活动正在通过恶意 npm 包攻击 Web3 开发者。攻击能力包括窃取凭据、提取钱包种子短语和密码、操纵 GitHub 仓库、发布恶意包、暴露 CI/CD 密钥、基于 Tor 的指挥与控制,以及通过 eBPF rootkit 实现持久化。
安全团队应审计仓库历史中的可疑提交、分支和构建钩子,尤其是那些来自 claude、dependabot、renovate 或 github-actions 等自动化身份的来源。推荐的行动包括移除或弃用受影响的包版本,发布干净的发布版本,轮换所有已暴露的凭据和令牌,并从干净镜像重建可能已被入侵的开发与 CI 系统。
