### IronWormインフォスティーラー、npmパッケージを侵害 新たな高度なサプライチェーン攻撃が検出され、**Node Package Manager (npm)**インデックス上の36個のパッケージが侵害されました。**IronWorm**と特定されたこのマルウェアは、重要な開発者認証情報や機密性の高い設定ファイルを盗むために設計された**Rust**ベースのインフォスティーラーです。 ### IronWormの機能に関する詳細分析 サプライチェーンおよびDevOps企業の**JFrog**の研究者によると、**IronWorm**は特に悪質です。86個の環境変数と20個の特定の認証情報ファイルを広範囲に標的としています。これらには、**OpenAI**、**AWS**、**Anthropic**、**npm**の認証情報、Vault設定ファイル、**SSH**キー、**Exodus**仮想通貨ウォレットファイルなど、非常に機密性の高いデータが含まれます。 マルウェアは、**eBPFカーネルrootkit**の背後に隠れ、**Torネットワーク**を介してオペレーターと通信するなど、高度なステルス技術を採用しています。 ### 自己増殖とサプライチェーンリスク **IronWorm**の主な特徴は、自己増殖能力です。開発者またはCI環境を侵害すると、**npm**のTrusted Publishingワークフローに関連する認証情報を含む、盗まれた認証情報を悪用して、被害者が所有するパッケージのトロイ化されたバージョンを公開します。これにより、マルウェアは自律的に拡散し、サプライチェーンの下流でさらなる開発者やCIシステムに感染させることができます。 この動作は、以前に特定された**Shai Hulud**マルウェアの動作と類似しており、両方のキャンペーンで同一のコミット名が確認されていることから、進化または共通の起源の可能性が示唆されています。 ### 攻撃ベクトルと回避戦術 最新の**IronWorm**キャンペーンは、'asteroiddao'という名前の侵害されたアカウントから始まったと報告されています。'preinstall'スクリプトを介して実行される**Rust ELF**バイナリをプッシュする悪意のあるコミットが観察されました。検出とフォレンジック分析を回避するため、攻撃者はコミットのタイムスタンプを操作し、実際のプッシュ日より最大13年前まで遡って、数年古いように見せかけました。 ### 高度な情報漏洩メカニズム（未使用） **JFrog**の分析では、この特定の攻撃では未使用でしたが、**GitHub Actions**を活用した高度な情報漏洩メカニズムも発見されました。この方法では、盗まれたシークレットを単一の値にシリアライズし、無害に見えるファイル（lintまたはフォーマット出力に似せる）に書き込み、それをビルド成果物としてアップロードします。この技術により、脅威アクターは外部のコマンドアンドコントロール（C2）サーバーを必要とせずにシークレットを取得でき、検出をさらに困難にします。 興味深いことに、研究者はオペレーターが開発中の自己感染を防ぐために、自身の仮想通貨ウォレットのリカバリフレーズをハードコードしていたことも発見しました。 ### 早期検出と緩和策 幸いなことに、**IronWorm**攻撃はアプリケーションセキュリティ企業**Ox Security**によって早期に検出され、より広く使用されている**npm**パッケージへの拡散を防ぎました。**Ox Security**は、影響を受けたすべてのパッケージ名とバージョンのリストを提供しています。同社は、開発者に対し、修正されたリリースにアップグレードし、すべてのキーを速やかにローテーションし、すべてのアカウントで二要素認証（**2FA**）を有効にして防御を強化することを強く推奨しています。 ### 並行して新たな脅威が出現 同時に、セキュリティ企業**Endor Labs**と**StepSecurity**は、異なるものの類似した攻撃が展開されていることを特定しました。このキャンペーンには、レジストリポイズニングと**GitHub Actions**の感染を実行する**JavaScript**ベースのマルウェア**binding.gyp**が含まれており、開発者エコシステムを標的とする高度なサプライチェーン攻撃の広範なトレンドを浮き彫りにしています。