### Infostealer IronWorm Atinge Pacotes npm Um novo e sofisticado ataque à cadeia de suprimentos foi detectado, comprometendo 36 pacotes no índice do **Node Package Manager (npm)**. O malware, identificado como **IronWorm**, é um infostealer baseado em **Rust** projetado para roubar credenciais críticas de desenvolvedores e arquivos de configuração sensíveis. ### Análise Profunda das Capacidades do IronWorm De acordo com pesquisadores da **JFrog**, empresa de cadeia de suprimentos e DevOps, o **IronWorm** é particularmente insidioso. Ele visa uma lista extensa de 86 variáveis de ambiente e 20 arquivos de credenciais específicos. Estes incluem dados altamente sensíveis como credenciais **OpenAI**, **AWS**, **Anthropic** e **npm**, arquivos de configuração de vault, chaves **SSH** e arquivos de carteira de criptomoedas **Exodus**. O malware emprega técnicas avançadas de furtividade, incluindo se esconder atrás de um **rootkit de kernel eBPF** e se comunicar com seus operadores através da **rede Tor**. ### Autopropagação e Risco na Cadeia de Suprimentos Uma característica chave do **IronWorm** é sua natureza autoprogamável. Uma vez que compromete um ambiente de desenvolvedor ou CI, ele utiliza credenciais roubadas—incluindo aquelas associadas ao fluxo de trabalho de Publicação Confiável do **npm**—para publicar versões trojanizadas de pacotes pertencentes à vítima. Isso permite que o malware se espalhe autonomamente, infectando desenvolvedores adicionais e sistemas de CI mais adiante na cadeia de suprimentos. Esse comportamento espelha o do malware **Shai Hulud**, identificado anteriormente, com pesquisadores observando nomes de commit idênticos em ambas as campanhas, sugerindo uma possível evolução ou origem compartilhada. ### Vetor de Ataque e Táticas de Evasão A mais recente campanha do **IronWorm** teria se originado de uma conta comprometida chamada ‘asteroiddao’. Commits maliciosos, enviando um binário **Rust ELF** executado via um script ‘preinstall’, foram observados. Para evadir detecção e análise forense, os atacantes manipularam os timestamps dos commits, fazendo com que parecessem ter vários anos, em alguns casos até 13 anos antes de sua data real de envio. ### Mecanismo Sofisticado de Exfiltração (Não Utilizado) A análise da **JFrog** também descobriu um mecanismo sofisticado, embora não utilizado neste ataque específico, de exfiltração que utiliza **GitHub Actions**. Este método envolve serializar segredos roubados em um único valor, escrevê-lo em um arquivo de aparência inofensiva (imitando saída de lint ou formatação) e, em seguida, carregá-lo como um artefato de build. Essa técnica permitiria que os atores de ameaça recuperassem segredos sem a necessidade de um servidor externo de comando e controle (C2), tornando a detecção ainda mais desafiadora. Intrigantemente, os pesquisadores também descobriram que o operador havia codificado a frase de recuperação de sua própria carteira de criptomoedas, provavelmente para fins de teste para evitar auto-infestação durante o desenvolvimento. ### Detecção Precoce e Mitigação Felizmente, o ataque **IronWorm** foi detectado precocemente pela empresa de segurança de aplicações **Ox Security**, impedindo sua disseminação para pacotes **npm** mais amplamente utilizados. A **Ox Security** forneceu uma lista de todos os nomes e versões de pacotes impactados. Eles aconselham fortemente os desenvolvedores a atualizar para versões corrigidas, rotacionar prontamente todas as suas chaves e habilitar a autenticação de dois fatores (**2FA**) para todas as contas para reforçar suas defesas. ### Ameaças Paralelas Emergem Concomitantemente, as empresas de segurança **Endor Labs** e **StepSecurity** identificaram um ataque distinto, mas semelhante, em andamento. Esta campanha envolve um malware baseado em **JavaScript** chamado **binding.gyp**, que realiza envenenamento de registro e infecção de **GitHub Actions**, destacando uma tendência mais ampla de ataques sofisticados à cadeia de suprimentos visando ecossistemas de desenvolvedores.