Een nieuwe supply-chain aanval heeft 36 pakketten op de Node Package Manager (npm) index geïnfecteerd met infostealer malware genaamd IronWorm. Deze malware richt zich op 86 omgevingsvariabelen en 20 credential-bestanden die mogelijk inloggegevens bevatten voor onder andere OpenAI, AWS, Anthropic en npm, evenals configuratiebestanden voor vaults, SSH-sleutels en Exodus cryptocurrency wallets.

Onderzoekers van het supply-chain en DevOps bedrijf JFrog melden dat IronWorm is geschreven in Rust, zich verbergt achter een eBPF kernel rootkit en communiceert met de operator via het Tor-netwerk. De malware verspreidt zich zelf door gestolen credentials te gebruiken om trojaanse versies van pakketten te publiceren op npm, inclusief secrets die horen bij het Trusted Publishing workflow van npm. Zodra een ontwikkelaar of CI-omgeving is gecompromitteerd, kunnen besmette pakketten worden gepubliceerd die vervolgens andere ontwikkelaars en CI-systemen infecteren. Dit gedrag vertoont overeenkomsten met de eerder ontdekte Shai Hulud malware, hoewel er geen directe link is gevonden. Wel zijn dezelfde commit-namen waargenomen, wat suggereert dat IronWorm mogelijk een evolutie is van TeamPCP’s payload.

De aanval begon volgens JFrog met een gecompromitteerd account genaamd ‘asteroiddao’, dat pakketten publiceerde met een Rust ELF-binary die werd uitgevoerd via een ‘preinstall’ script. Malafide commits werden onder de naam “claude” gepusht, met tijdstempels die tot 13 jaar oud lijken, waarschijnlijk om onderzoek te bemoeilijken. Een opvallende techniek is het gebruik van GitHub Actions om gestolen secrets te verzenden door deze te serialiseren en in een bestand met een onschuldig ogende naam te plaatsen, dat vervolgens als build artifact wordt geüpload. Dit vermijdt de noodzaak van een externe command-and-control server, al is deze methode niet ingezet in de onderzochte IronWorm aanval.

Daarnaast ontdekte JFrog dat de operator de recovery phrase van zijn eigen cryptocurrency wallet hardcoded in de malware had opgenomen, vermoedelijk om te voorkomen dat deze tijdens tests werd gestolen. Volgens Ox Security werd de IronWorm aanval vroegtijdig gedetecteerd en gestopt voordat deze zich naar populairdere npm-pakketten kon verspreiden. Zij adviseren ontwikkelaars om te upgraden naar gepatchte versies, hun sleutels te roteren en tweefactorauthenticatie (2FA) te activeren voor alle accounts.

Tegelijkertijd signaleerden Endor Labs en StepSecurity een vergelijkbare maar aparte aanval met JavaScript-malware genaamd binding.gyp, die registry poisoning en infectie via GitHub Actions uitvoert binnen dezelfde tijdsperiode.