### IronWorm Infostealer trifft npm-Pakete Ein neuer, hochentwickelter Angriff auf die Lieferkette wurde entdeckt, der 36 Pakete im **Node Package Manager (npm)**-Index kompromittiert hat. Die als **IronWorm** identifizierte Malware ist ein auf **Rust** basierender Infostealer, der darauf ausgelegt ist, kritische Entwickler-Anmeldedaten und sensible Konfigurationsdateien zu stehlen. ### Tiefere Einblicke in die Fähigkeiten von IronWorm Laut Forschern des Unternehmens für Lieferketten- und DevOps-Sicherheit **JFrog** ist **IronWorm** besonders heimtückisch. Sie zielt auf eine umfangreiche Liste von 86 Umgebungsvariablen und 20 spezifischen Anmeldedateien ab. Dazu gehören hochsensible Daten wie Anmeldedaten für **OpenAI**, **AWS**, **Anthropic** und **npm**, Vault-Konfigurationsdateien, **SSH**-Schlüssel und **Exodus**-Kryptowährungs-Wallet-Dateien. Die Malware setzt fortschrittliche Stealth-Techniken ein, darunter das Verstecken hinter einem **eBPF Kernel Rootkit** und die Kommunikation mit ihren Betreibern über das **Tor-Netzwerk**. ### Selbstverbreitung und Risiko für die Lieferkette Ein Hauptmerkmal von **IronWorm** ist seine Fähigkeit zur Selbstverbreitung. Sobald es eine Entwickler- oder CI-Umgebung kompromittiert, nutzt es gestohlene Anmeldedaten – einschließlich derer, die mit dem Trusted Publishing-Workflow von **npm** verbunden sind –, um trojanisierte Versionen von Paketen, die dem Opfer gehören, zu veröffentlichen. Dies ermöglicht es der Malware, sich autonom zu verbreiten und weitere Entwickler und CI-Systeme weiter unten in der Lieferkette zu infizieren. Dieses Verhalten ähnelt dem der zuvor identifizierten **Shai Hulud**-Malware, wobei Forscher identische Commit-Namen in beiden Kampagnen feststellten, was auf eine mögliche Weiterentwicklung oder eine gemeinsame Herkunft hindeutet. ### Angriffsvektor und Umgehungstaktiken Die jüngste **IronWorm**-Kampagne soll von einem kompromittierten Konto namens 'asteroiddao' ausgegangen sein. Es wurden bösartige Commits beobachtet, die ein **Rust ELF**-Binary pushten, das über ein 'preinstall'-Skript ausgeführt wurde. Um Erkennung und forensische Analysen zu umgehen, manipulierten die Angreifer die Commit-Zeitstempel, sodass sie mehrere Jahre alt erschienen, in einigen Fällen bis zu 13 Jahre vor ihrem tatsächlichen Push-Datum. ### Hochentwickelter Exfiltrationsmechanismus (ungenutzt) Die Analyse von **JFrog** deckte auch einen ausgeklügelten, wenn auch in diesem speziellen Angriff ungenutzten, Exfiltrationsmechanismus auf, der **GitHub Actions** nutzt. Diese Methode beinhaltet die Serialisierung gestohlener Geheimnisse in einen einzigen Wert, das Schreiben in eine harmlos aussehende Datei (die Lint- oder Formatierungs-Ausgaben nachahmt) und das anschließende Hochladen als Build-Artefakt. Diese Technik würde es Bedrohungsakteuren ermöglichen, Geheimnisse ohne die Notwendigkeit eines externen Command-and-Control (C2)-Servers abzurufen, was die Erkennung noch schwieriger macht. Interessanterweise stellten die Forscher auch fest, dass der Betreiber seine eigene Wiederherstellungsphrase für die Kryptowährungs-Wallet hartkodiert hatte, wahrscheinlich zu Testzwecken, um eine Selbstinfektion während der Entwicklung zu verhindern. ### Frühe Erkennung und Eindämmung Glücklicherweise wurde der **IronWorm**-Angriff frühzeitig von der Anwendungssicherheitsfirma **Ox Security** erkannt, was seine Verbreitung auf weiter verbreitete **npm**-Pakete verhinderte. **Ox Security** hat eine Liste aller betroffenen Paketnamen und Versionen bereitgestellt. Sie raten Entwicklern dringend, auf behobene Versionen zu aktualisieren, alle ihre Schlüssel umgehend zu rotieren und die Zwei-Faktor-Authentifizierung (**2FA**) für alle Konten zu aktivieren, um ihre Abwehrmaßnahmen zu stärken. ### Parallele Bedrohungen tauchen auf Gleichzeitig haben die Sicherheitsfirmen **Endor Labs** und **StepSecurity** einen eigenständigen, aber ähnlichen Angriff identifiziert. Diese Kampagne beinhaltet eine auf **JavaScript** basierende Malware namens **binding.gyp**, die Registry-Poisoning und **GitHub Actions**-Infektionen durchführt, was einen breiteren Trend von hochentwickelten Lieferkettenangriffen auf Entwickler-Ökosysteme hervorhebt.