### El Infostealer IronWorm afecta a paquetes de npm Se ha detectado un nuevo y sofisticado ataque a la cadena de suministro, que ha comprometido 36 paquetes en el índice del **Node Package Manager (npm)**. El malware, identificado como **IronWorm**, es un infostealer basado en **Rust** diseñado para robar credenciales críticas de desarrolladores y archivos de configuración sensibles. ### Análisis profundo de las capacidades de IronWorm Según investigadores de **JFrog**, empresa especializada en cadena de suministro y DevOps, **IronWorm** es particularmente insidioso. Se dirige a una extensa lista de 86 variables de entorno y 20 archivos de credenciales específicos. Estos incluyen datos altamente sensibles como credenciales de **OpenAI**, **AWS**, **Anthropic** y **npm**, archivos de configuración de bóvedas, claves **SSH** y archivos de billeteras de criptomonedas **Exodus**. El malware emplea técnicas avanzadas de sigilo, incluyendo ocultarse detrás de un **rootkit de kernel eBPF** y comunicarse con sus operadores a través de la **red Tor**. ### Autopropagación y Riesgo en la Cadena de Suministro Una característica clave de **IronWorm** es su naturaleza de autopropagación. Una vez que compromete un entorno de desarrollador o CI, utiliza las credenciales robadas —incluidas las asociadas con el flujo de trabajo de Publicación Confiable de **npm**— para publicar versiones troyanizadas de paquetes propiedad de la víctima. Esto permite que el malware se propague de forma autónoma, infectando a desarrolladores y sistemas de CI adicionales en la cadena de suministro. Este comportamiento es similar al del malware **Shai Hulud** identificado previamente, y los investigadores han notado nombres de commit idénticos en ambas campañas, lo que sugiere una posible evolución u origen compartido. ### Vector de Ataque y Tácticas de Evasión La última campaña de **IronWorm** supuestamente se originó en una cuenta comprometida llamada ‘asteroiddao’. Se observaron commits maliciosos, que enviaban un binario **Rust ELF** ejecutado a través de un script ‘preinstall’. Para evadir la detección y el análisis forense, los atacantes manipularon las marcas de tiempo de los commits, haciéndolas parecer de varios años atrás, en algunos casos hasta 13 años antes de su fecha real de envío. ### Sofisticado Mecanismo de Exfiltración (No Utilizado) El análisis de **JFrog** también descubrió un sofisticado mecanismo de exfiltración, aunque no utilizado en este ataque específico, que aprovecha **GitHub Actions**. Este método implica serializar los secretos robados en un solo valor, escribirlo en un archivo de apariencia inofensiva (imitando la salida de lint o formato) y luego cargarlo como un artefacto de compilación. Esta técnica permitiría a los actores de amenazas recuperar secretos sin necesidad de un servidor externo de comando y control (C2), haciendo la detección aún más desafiante. Curiosamente, los investigadores también descubrieron que el operador había codificado la frase de recuperación de su propia billetera de criptomonedas, probablemente con fines de prueba para evitar la auto-infestación durante el desarrollo. ### Detección Temprana y Mitigación Afortunadamente, el ataque **IronWorm** fue detectado tempranamente por la empresa de seguridad de aplicaciones **Ox Security**, lo que impidió su propagación a paquetes de **npm** de uso más generalizado. **Ox Security** ha proporcionado una lista de todos los nombres y versiones de paquetes afectados. Aconsejan encarecidamente a los desarrolladores que actualicen a versiones corregidas, roten rápidamente todas sus claves y habiliten la autenticación de dos factores (**2FA**) para todas las cuentas para reforzar sus defensas. ### Paralelamente, Surgen Amenazas Similares Concomitantemente, las firmas de seguridad **Endor Labs** y **StepSecurity** han identificado un ataque distinto pero similar en desarrollo. Esta campaña involucra un malware basado en **JavaScript** llamado **binding.gyp**, que realiza envenenamiento de registros e infección de **GitHub Actions**, destacando una tendencia más amplia de ataques sofisticados a la cadena de suministro dirigidos a ecosistemas de desarrolladores.