Gli aggressori hanno infettato il pacchetto npm WeaveDB di Arweave con un trojan per distribuire malware

Gli hacker hanno inserito un software di furto di informazioni all'interno di 36 pacchetti npm collegati all'ecosistema Arweave. L'obiettivo era quello di rubare ledentdegli sviluppatori, le chiavi SSH e i file del portafoglio di criptovalute Exodus. L'azienda di sicurezza JFrog tracricondotto l'attacco a un account di un manutentore compromesso.

Il malware si chiama IronWorm ed è sviluppato in Rust. Si attiva nel momento in cui uno sviluppatore installa un pacchetto npm. Una volta in esecuzione, analizza il computer infetto alla ricerca di 86 variabili d'ambiente e 20dentdi JFrog di ricerca . Prende di mira i token AWS, le chiavi API di Anthropic e OpenAI, le credenziali di autenticazione npmdenti dati dei portafogli di criptovalute.

I pacchetti di progetto Arweave contengono malware Rust nascosto

Gli hacker hanno compromesso un account npm chiamato "asteroiddao", appartenente al gruppo GitHub asteroid-dao, parte del progetto di database decentralizzato Arweave/WeaveDB.

Tutti i pacchetti associati all'account "asteroiddao" sono stati ripubblicati in breve tempo, e ogni nuova versione conteneva un file Linux di 976 KB situato nella directory tools/.

Il file era impostato per essere eseguito automaticamentematicun di preinstallazione in package.json, il che significa che veniva avviato prima ancora che npm iniziasse a installare qualsiasi cosa. Tutto ciò che la vittima doveva fare era eseguire npm install.

Il team di JFrog ha analizzato il file e ha scoperto che era stato compresso in modo da ingannare i normali strumenti di decompressione. Al suo interno si trovava un corposo programma Rust che manteneva le stringhe crittografate singolarmente, ognuna bloccata separatamente, rendendo l'analisi molto più difficile.

Una volta decodificate, quelle stringhe hanno rivelato endpoint API di GitHub, percorsi a file dident, account bot falsi collegati a ID utente GitHub reali e modelli per iniettare codice dannoso in altri registri di pacchetti.

I token GitHub rubati consentono al malware di inviare commit e infettare più repository

Dopo aver raccolto ledent, IronWorm le utilizzava per inviare commit a repository a cui la vittima poteva accedere. Questi commit inserivano lo stesso binario dannoso in altri pacchetti, che potevano poi essere pubblicati su npm e compromettere lo sviluppatore successivo nella catena.

JFrog ha rilevato 57 commit dannosi retrodatati in nove GitHub . I commit utilizzavano il nome autore "claude" con l'indirizzo email [email protected]. I timestamp erano stati falsificati per corrispondere al commit legittimo più recente di ciascun repository. Uno di questi sembrava risalire a 13 anni prima, sebbene i log di GitHub Actions abbiano confermato che tutti i push erano avvenuti entro pochi giorni dalla scoperta.

Tra le organizzazioni colpite figurano asteroid-dao, weavedb, ArweaveOasis e diversi account personali associati allo sviluppatore "ocrybit"

IronWorm ha inoltre distribuito un rootkit del kernel eBPF per nascondersi sulle macchine infette. Le comunicazioni con il suo gestore avvenivano tramite la rete Tor. Il compilatore Rust ha lasciato il codice sorgente del rootkit nel file binario, un errore operativo che ha facilitato l'analisi.

Una particolarità è che l'operatore ha inserito nel malware la propria frase di recupero del portafoglio di criptovalute. JFrog ha concluso che si trattava di una misura di sicurezza per impedire al ladro di sottrarre ledentdell'attaccante durante la fase di test.

Gli attacchi malware continuano a colpire npm

L'azienda di sicurezza informatica Ox Security ha affermato che l'attacco è stato individuato tempestivamente, prima che potesse diffondersi ad altri pacchetti su npm.

Le versioni dannose sono state contrassegnate come obsolete entro un giorno e la maggior parte dei commit retrodatati sono stati rimossi da GitHub poco dopo.

Il 14 maggio, degli hacker hanno sfruttato un account di manutenzione inattivo per node-ipc, un pacchetto con oltre 822.000 download settimanali. L'attacco è stato realizzato registrando nuovamente il dominio email scaduto del manutentore e reimpostando la password di npm. Tre varianti compromesse contenevanodentper il furto di credenziali, mirati a oltre 90 categorie di segreti degli sviluppatori.

Le società di sicurezza Endor Labs e StepSecurity hannodentun attacco simultaneo ma distinto, che utilizzava un malware basato su JavaScript chiamato binding.gyp, il quale ha effettuato un'intossicazione del registro di sistema e un'infezione di GitHub Actions simili nello stesso arco di tempo.

Gli sviluppatori che hanno installato uno qualsiasi dei pacchetti WeaveDB interessati dovrebbero ruotare tutte ledent, controllare i file di blocco per eventuali modifiche di versione impreviste e abilitare l'autenticazione a due fattori sugli account npm e GitHub.