JFrog将这起供应链攻击与36个与Arweave相关的软件包联系起来,这些软件包通过遭入侵的 asteroiddao npm 账户重新发布,从而实现凭证窃取、GitHub 篡改、基于 Tor 的命令与控制以及 eBPF rootkit 持久化。
SlowMist警告称,一场名为 IronWorm 的 Rust 供应链恶意软件行动正通过恶意 npm 软件包瞄准开发者环境和 Web3 生态系统。随后,JFrog 将该行动与36个与 Arweave 和 WeaveDB 生态相关的软件包联系起来,这些软件包通过遭入侵的“asteroiddao”维护者账户重新发布,且恶意软件被配置为通过 preinstall hook 运行。研究人员表示,该攻击可窃取凭证、钱包助记词和密码、SSH 密钥、Exodus 钱包文件、CI/CD 密钥、AWS 令牌、Anthropic 和 OpenAI 应用程序接口 (API) 密钥,以及 npm 身份验证数据;还可利用窃取的 GitHub 令牌篡改代码库并发布更多恶意软件包。该行动使用基于 Tor 的命令与控制以及 eBPF 内核 rootkit 进行隐匿,凸显出受污染的软件依赖项可从开发者机器扩散至代码库和部署流水线的更广泛风险。