Основы Интернет - технологий.

Экосистема npm пострадала от новой атаки на цепочку поставок. Специалисты компании JFrog обнаружили инфостилер IronWorm, который успел заразить 36 пакетов и был нацелен на кражу секретов разработчиков, учетных данных для облачных сервисов и ключей доступа. По данным аналитиков, IronWorm написан на Rust, взаимодействует со своими операторами через Tor и маскирует свою активность с помощью eBPF-руткита. Малварь нацелена на кражу 86 переменных окружения (пары key-value), а также учетные данные от сервисов OpenAI, AWS, Anthropic и npm, SSH-ключи, конфигурации хранилищ и файлы криптовалютных кошельков Exodus. Главной особенностью малвари является ее способность к самораспространению. Получив доступ к машине разработчика или CI/CD-среде, вредонос использует похищенные учетные данные для публикации новых зараженных пакетов в npm. Среди украденных данных встречаются и секреты, используемые механизмом Trusted Publishing. В результате заражение может быстро распространяться по цепочке поставок, затрагивая устройства других разработчиков и CI-системы. Исследователи отмечают, что по своему поведению IronWorm напоминает червя Shai-Hulud, исходный код которого недавно опубликовала в открытом доступе группировка TeamPCP. Прямой связи между этими вредоносами обнаружить не удалось, однако в обоих случаях использовались одинаковые названия коммитов. По мнению специалистов, новый червь может оказаться развитием инструментов TeamPCP. Как показало расследование, волна атак IronWorm началась с компрометации аккаунта asteroiddao. От имени этой учетной записи были опубликованы версии пакетов с вредоносным Rust-бинарником, который запускался на этапе preinstall и автоматически добавлял вредоносные коммиты в репозитории жертв. При этом автором коммитов значился «claude», а временные метки в некоторых случаях были искусственно сдвинуты на годы назад (вероятно, для усложнения изучения инцидента). Также исследователи отдельно отмечают механизм эксфильтрации данных через GitHub Actions, обнаруженный в коде малвари. Так, вредонос способен собирать похищенные секреты в единый файл, маскировать его под служебный файл, созданный инструментами проверки кода, а затем загружать как build artifact. Впрочем, в обнаруженной кампании эту функциональность не задействовали. Кроме того, эксперты заметили, что авторы IronWorm жестко прописали в коде червя список исключений для кражи данных, и в нем содержалась единственная запись с seed-фразой от собственного криптовалютного кошелька злоумышленников. Предполагается, что это было сделано ради того, чтобы малварь случайно не похитила данные самих хакеров во время тестирования. По информации специалистов компании Ox Security, атаку удалось обнаружить на ранней стадии и остановить до того, как заражение добралось до популярных npm-проектов.