Les meilleures analyses crypto directement dans votre boîte mail.
Des attaquants ont introduit un cheval de Troie dans le package npm WeaveDB d'Arweave pour déployer un logiciel malveillant
- Un voleur d'informations Rust appelé IronWorm se cachait dans 36 packages npm de l'écosystème Arweave.
- Le logiciel malveillant s'est auto-répliqué puis a propagé des actions malveillantes rétroactives à travers neuf organisations.
- Les développeurs ayant installé les packages concernés doivent immédiatement faire pivoter tous les secrets exposés.
Des pirates ont implanté un logiciel espion dans 36 paquets npm liés à l'écosystème Arweave. Ce logiciel ciblait lesdentdes développeurs, les clés SSH et les fichiers du portefeuille crypto Exodus. La société de sécurité JFrog tracl'attaque jusqu'à un compte de maintenance compromis.
Le logiciel malveillant, nommé IronWorm, est développé en Rust. Il s'active dès qu'un développeur installe un paquet npm. Une fois lancé, il analyse l'ordinateur infecté à la recherche de 86 variables d'environnement et de 20dentde JFrog de recherche . Il cible les jetons AWS, les clés API Anthropique et OpenAI, les identifiants d'authentification npmdentles données des portefeuilles de cryptomonnaies.
Les packages du projet Arweave contiennent des logiciels malveillants Rust cachés
Des attaquants ont compromis un compte npm appelé « asteroiddao », qui appartient au groupe GitHub asteroid-dao, faisant partie du projet de base de données décentralisée Arweave/WeaveDB.
Tous les paquets associés au compte « asteroiddao » ont été republiés en peu de temps, chaque nouvelle version contenant un fichier Linux de 976 Ko situé dans un répertoire tools/.
Le fichier était configuré pour s'exécuter automatiquementmaticun de préinstallation dans package.json, ce qui signifie qu'il se lançait avant même que npm ne commence l'installation. Il suffisait à la victime d'exécuter npm install.
L'équipe de JFrog a analysé le fichier et découvert qu'il avait été compressé de manière à tromper les outils de décompression classiques. À l'intérieur se trouvait un programme Rust volumineux dont les chaînes de caractères étaient chiffrées individuellement, chacune étant verrouillée séparément, ce qui rendait l'analyse beaucoup plus difficile.
Une fois ces chaînes de caractères décodées, elles ont révélé des points de terminaison de l'API GitHub, des chemins d'accès à des fichiers d'dent, de faux comptes de bots liés à de véritables identifiants d'utilisateurs GitHub et des modèles permettant d'injecter du code malveillant dans d'autres registres de paquets.
Des jetons GitHub volés permettent à des logiciels malveillants de publier des modifications et d'infecter davantage de dépôts
Après avoir récupéré lesdent, IronWorm les utilisait pour insérer des modifications dans des dépôts accessibles à la victime. Ces modifications permettaient d'introduire le même binaire malveillant dans d'autres paquets, qui pouvaient ensuite être publiés sur npm et compromettre le développeur suivant dans la chaîne.
JFrog a découvert 57 commits malveillants antidatés répartis sur neuf GitHub . Ces commits utilisaient le nom d'auteur « claude » et l'adresse e-mail [email protected]. Les horodatages étaient falsifiés pour correspondre à la dernière modification légitime de chaque dépôt. L'un d'eux semblait remonter à 13 ans, alors que les journaux de GitHub Actions ont confirmé que tous les envois avaient eu lieu quelques jours seulement après la découverte.
Les organisations touchées comprenaient asteroid-dao, weavedb, ArweaveOasis et plusieurs comptes personnels associés au développeur « ocrybit »
IronWorm a également déployé un rootkit noyau eBPF pour se dissimuler sur les machines infectées. Les communications avec son opérateur transitaient par le réseau Tor. Le compilateur Rust a laissé le code source du rootkit dans le binaire, une erreur d'exécution qui a facilité l'analyse.
Étrangement, l'opérateur a intégré sa propre phrase de récupération de portefeuille de cryptomonnaie directement dans le logiciel malveillant. JFrog en a conclu qu'il s'agissait d'une mesure de sécurité visant à empêcher le voleur d'exfiltrer ses propresdentlors des tests.
Les attaques de logiciels malveillants continuent de toucher npm
La société de sécurité applicative Ox Security a déclaré que l'attaque avait été détectée rapidement, avant qu'elle ne puisse se propager à d'autres paquets sur npm.
Les versions malveillantes ont été marquées comme obsolètes en moins de 24 heures et la plupart des modifications rétroactives ont été supprimées de GitHub peu après.
Le 14 mai, des pirates ont exploité la vulnérabilité d'un compte de maintenance inactif pour node-ipc, un paquet comptant plus de 822 000 téléchargements hebdomadaires. L'exploitation a consisté à réenregistrer le domaine de messagerie expiré du responsable et à réinitialiser le mot de passe npm. Trois variantes compromises contenaientdentde vol d'identifiants ciblant plus de 90 catégories de données sensibles des développeurs.
Les sociétés de sécurité Endor Labs et StepSecurity ontdentune attaque simultanée mais distincte utilisant un logiciel malveillant basé sur JavaScript appelé binding.gyp, qui a effectué un empoisonnement de registre et une infection de GitHub Actions similaires au cours de la même période.
Les développeurs ayant installé l'un des packages WeaveDB concernés doivent renouveler tousdent, vérifier les fichiers de verrouillage pour détecter d'éventuels changements de version inattendus et activer l'authentification à deux facteurs sur leurs comptes npm et GitHub.
Si vous lisez ceci, vous avez déjà une longueur d'avance. Restez-y grâce à notre newsletter.
FAQ
Qu'est-ce que le ver de fer et comment se propage-t-il ?
IronWorm est un voleur d'informations Rust qui s'exécute lors de l'exécution de `npm install` via un hook de préinstallation. Une fois en possessiondent, il utilise les jetons GitHub et npm volés pour introduire des commits malveillants dans les dépôts de la victime.
Quels paquets npm ont été affectés par l'attaque IronWorm ?
L'attaque a compromis 36 paquets publiés sous le compte npm « asteroiddao », tous liés à l'écosystème Arweave/WeaveDB.
QuelsdentIronWorm vole-t-il ?
Le logiciel malveillant cible 86 variables d'environnement et 20 fichiersdent. Parmi ceux-ci figurent les jetons AWS, les clés API OpenAI et Anthropic, les secrets d'authentification npm, les clés SSH et les fichiers du portefeuille crypto Exodus.
Avertissement : Les informations fournies ne constituent pas un conseil en investissement. CryptopolitanCryptopolitan.com toute responsabilité quant aux investissements réalisés sur la base des informations présentées sur cette page. Nous voustronrecommandons vivement d’effectuer vosdent et/ou de consulter un professionnel qualifié avant toute décision d’investissement.
Randa Moses
Randa Moses est rédactrice et journaliste chez Cryptopolitan où elle couvre les technologies, l'intelligence artificielle, la robotique, les cryptomonnaies, les arnaques et le piratage informatique. Elle travaille dans le secteur des cryptomonnaies depuis 2017 et a notamment travaillé chez Forward Protocol, AmaZix et Cryptosomniac. Randa est diplômée en génie électrique ettronde l'Université de Bradford.
- Quelles cryptomonnaies peuvent vous faire gagner de l'argent ?
- Comment renforcer la sécurité de votre portefeuille (et lesquels valent vraiment la peine d'être utilisés)
- Stratégies d'investissement peu connues utilisées par les professionnels
- Comment débuter en investissement crypto (quelles plateformes d'échange utiliser, quelles cryptomonnaies acheter, etc.)