Malware IronWorm baru menyerang 36 paket dalam serangan rantai pasokan npm

Serangan rantai pasokan baru telah menginfeksi 36 paket pada indeks Node Package Manager (npm) dengan malware infostealer yang disebut IronWorm.

Malware ini menargetkan 86 variabel lingkungan (pasangan nilai kunci) dan 20 file kredensial yang mungkin berisi kredensial OpenAI, AWS, Anthropic, dan npm, file konfigurasi vault, kunci SSH, dan file dompet cryptocurrency Exodus.

Menurut peneliti di rantai pasokan dan perusahaan pengembang JFrog, IronWorm ditulis dalam Rust, bersembunyi di balik rootkit kernel eBPF, dan berkomunikasi dengan operator melalui jaringan Tor.

Malware berbasis Rust menyebar sendiri dengan menggunakan kredensial curian untuk dipublikasikan di npm; ini termasuk rahasia yang terkait dengan alur kerja Penerbitan Tepercaya npm.

Setelah virus ini menyusupi lingkungan pengembang atau CI, ia dapat menerbitkan versi paket milik korban yang telah di-trojan, yang kemudian menginfeksi pengembang dan sistem CI lainnya.

Perilaku ini secara konseptual mirip dengan Shai Huludyang memiliki kodenya dipublikasikan di GitHub baru-baru ini. Meskipun peneliti JFrog tidak menemukan hubungan yang jelas antara IronWorm dan Shai Hulud, mereka mengamati nama-nama yang sama dalam kedua serangan rantai pasokan.

Hal ini membuka kemungkinan bahwa malware baru ini merupakan evolusi dari muatan TeamPCP, karena IronWorm tampaknya merupakan “implan khusus yang dibuat dengan cermat dari operasi dengan infrastrukturnya sendiri”.

Menurut JFrog, serangan terbaru dimulai dari akun yang disusupi bernama ‘asteroiddao,’ yang menerbitkan versi paket berisi biner Rust ELF yang dieksekusi melalui ‘pra-instal’, mendorong komitmen jahat ke dalam repositori.

Penulis penerapan muncul sebagai “claude”, dan stempel waktunya mengarah ke beberapa tahun yang lalu, hingga 13 tahun dalam beberapa kasus, meskipun stempel waktunya telah di-push dalam beberapa hari terakhir. Hal ini mungkin untuk menghindari penyelidikan.

Salah satu elemen penting dalam temuan JFrog adalah mekanisme yang mengandalkan Tindakan GitHub untuk menyampaikan rahasia yang dicuri. JFrog menjelaskan bahwa malware membuat serial rahasia menjadi satu nilai dan kemudian “menulisnya ke file dengan nama yang tampak tidak berbahaya, seolah-olah itu adalah serat atau format keluaran.”

Langkah terakhir dari proses ini adalah mengunggah file sebagai artefak build, yang dapat diunduh oleh siapa saja yang memiliki akses. Dengan cara ini, pelaku ancaman dapat menghindari kebutuhan akan perintah dan kendali eksternal (C2).

Namun, para peneliti mencatat bahwa mekanisme pengiriman ini belum digunakan dalam analisis serangan rantai pasokan IronWorm.

Keunikan lain yang ditemukan adalah operator melakukan hardcode pada frase pemulihan dompet mata uang kripto mereka sendiri. Para peneliti mengatakan satu-satunya alasan untuk hal ini adalah karena pelaku ancaman tidak ingin malware mencurinya selama tahap pengujian.

Perusahaan keamanan aplikasi Keamanan Sapi mengatakan bahwa serangan IronWorm terdeteksi sangat awal dan dihentikan sebelum menyebar ke paket yang lebih populer di npm.

Perusahaan menyediakan daftar semua nama paket yang terkena dampak dan versinya dalam laporan dan merekomendasikan agar pengembang meningkatkan ke rilis tetap, merotasi kunci mereka, dan mengaktifkan otentikasi dua faktor (2FA) untuk semua akun.

Pada saat yang sama, Laboratorium Endor Dan Langkah Keamanan telah melihat serangan yang sangat mirip namun berbeda yang melibatkan malware berbasis JavaScript bernama binding.gyp, yang melakukan peracunan registri dan infeksi GitHub Actions, yang terjadi dalam jangka waktu yang sama.