IronWorm: новий інфостелер атакує розробників через npm-пакети

За даними Devops та аналізу JFrog Security, розробники відкритих джерел продовжують бути мішенню для високотехнологічних атак. Новий шкідливий інфостелер IronWorm демонструє значні покращення порівняно зі старими загрозами, такими як Shai-Hulud, оскільки він ускладнює виявлення та реверс-інжиніринг для оборони. Ця загроза використовує ланцюг постачання програмного забезпечення (software supply chain) як основний вектор проникнення.

Цільове викрадення секретів розробників

IronWorm був створений мовою Rust і націлений на ширший спектр професіоналів — від традиційних розробників програмного забезпечення до фахівців у криптовалютах та Web3. Шкідливик шукає критично важливі секрети в більшості основних платформ, які використовують розробники: хмарні провайдери, системи об'єктного зберігання, бази даних, CI/CD-системи, Kubernetes та месенджери.

Особливо небезпечною є його здатність викрадати ключі до API та SSH. IronWorm активно шукає облікові дані для великих гравців у сфері штучного інтелекту, включаючи OpenAI, Google Gemini, Anthropic, Mistral та Groq. Дослідники зазначають, що шкідливик здатний викрадати широкий спектр секретів, зокрема токени публікації npm та облікові дані хмарних сервісів.

Механізми поширення та приховування

IronWorm використовує Tor-орієнтовану структуру командного центру (C2) для комунікацій. Його механізм розповсюдження є двоступеневим і надзвичайно витонченим, що дозволяє йому адаптуватися до різних репозиторіїв.

• Ін'єкція в білди: Якщо репозиторій містить пакет (npm, PyPI, Cargo чи vcpkg), IronWorm використовує прямий шлях. Він розміщує бінарний файл у проєкті та модифікує систему збірки для його виконання під час інсталяції.
• Заміна робочих процесів: Якщо репозиторій вже має робочі процеси GitHub Actions, IronWorm застосовує більш небезпечний варіант: він не додає новий файл, а замінює існуючий на завдання вилучення секретів.

Крім того, дослідники відзначили «видатну особливість» цієї загрози — приховування за допомогою eBPF kernel rootkit. Технологія eBPF, яка використовується для моніторингу систем Linux, може бути зловживана для перехоплення подій та маніпулювання даними, які бачать інструменти безпеки, тим самим приховуючи операції шкідливого програмного забезпечення.

Хоча група TeamPCP раніше використовувала Shai-Hulud, IronWorm є «власною, ретельно побудованою імплантацією» з власною інфраструктурою. Він бере концепцію попередника на новий рівень, значно ускладнюючи роботу захисників.

Таким чином, IronWorm представляє собою не просто черв'як, а високоінтелектуальний інструмент для системної компрометації ланцюга постачання програмного забезпечення.