JFrogは、このサプライチェーン攻撃が侵害されたasteroiddaoのnpmアカウントを通じて再公開されたArweave関連の36パッケージに結び付くと特定し、認証情報の窃取、GitHub改ざん、TorベースのC2、eBPFルートキットによる永続化を可能にしたとした。
SlowMistは、IronWormと呼ばれるRust製のサプライチェーン型マルウェア攻撃が、悪意あるnpmパッケージを通じて開発者環境とWeb3エコシステムを標的にしていると警告した。JFrogはその後、この攻撃がArweaveおよびWeaveDBエコシステムに関連する36のパッケージに結び付いており、侵害された「asteroiddao」のメンテナーアカウント経由で再公開され、マルウェアはpreinstallフックを通じて実行されるよう設定されていたと明らかにした。研究者によれば、この攻撃は認証情報、ウォレットのニーモニックとパスワード、SSH鍵、Exodusウォレットのファイル、CI/CDシークレット、AWSトークン、AnthropicおよびOpenAIのAPIキー、npm認証データを窃取できるほか、盗んだGitHubトークンを使ってリポジトリを改ざんし、さらなる悪意あるパッケージを公開することも可能である。攻撃ではTorベースのC2と、隠密性を高めるeBPFカーネルルートキットが使われており、汚染されたソフトウェア依存関係が開発者マシンからコードリポジトリやデプロイパイプラインへ拡散し得る、より広範なリスクが浮き彫りになった。