最高の仮想通貨情報をあなたの受信トレイに直接お届けします。.
- IronWormと呼ばれるRustの情報窃盗マルウェアが、Arweaveエコシステムの36個のnpmパッケージに潜伏していた。.
- このマルウェアは自己複製し、過去の日付の悪意のあるコミットを9つの組織に拡散させた。.
- 影響を受けるパッケージをインストールした開発者は、公開されているすべての機密情報を直ちにローテーションする必要があります。.
攻撃者は、Arweaveエコシステムに関連する36個のnpmパッケージに情報窃盗マルウェアを仕込んだ。このマルウェアは、開発者dent情報、SSHキー、およびExodus暗号通貨ウォレットファイルを標的とした。セキュリティ企業JFrogは、この攻撃が侵害されたメンテナーアカウントに起因することを tracた。.
このマルウェアはIronWormと呼ばれ、Rustで構築されています。開発者がnpmパッケージをインストールした瞬間に起動します。JFrogdent情報ファイルを 研究 が標的となりますdent。
Arweaveプロジェクトパッケージには、隠されたRustマルウェアが含まれています。
攻撃者は、「asteroiddao」という名前のnpmアカウントを侵害した。このアカウントは、分散型データベースプロジェクトであるArweave/WeaveDBの一部であるasteroid-dao GitHubグループに属している。.
「asteroiddao」アカウントに関連付けられたすべてのパッケージは短時間のうちに再公開され、各新バージョンにはtools/ディレクトリに配置された976KBのLinuxファイルが含まれていました。.
そのファイルはmaticによってpackage.jsonのpreinstallフックに実行されるように設定されていたため、npmが何もインストールを開始する前に起動した。被害者はnpm installを実行するだけでよかった。
JFrogのチームがファイルを解析したところ、標準的な解凍ツールを欺くように設計された方法で圧縮されていることがわかった。内部には、文字列を個別に暗号化し、それぞれを個別にロックする大規模なRustプログラムがあり、解析が非常に困難になっていた。.
これらの文字列が最終的に解読されると、GitHub APIのエンドポイント、認証情報ファイルへのパス、実際のGitHubユーザーIDにリンクされた偽のボットアカウント、および他のパッケージレジストリに悪意のあるコードを注入するためのテンプレートがdent。.
盗まれたGitHubトークンにより、マルウェアがコミットをプッシュし、さらに多くのリポジトリに感染する。
IronWormはdent情報を収集した後、被害者がアクセスできるリポジトリにコミットをプッシュするためにそれらを利用した。これらのコミットは、同じ悪意のあるバイナリを他のパッケージに埋め込み、それらがnpmに公開されることで、チェーン上の次の開発者を危険にさらす可能性があった。.
JFrogは、9つのGitHub組織にわたって、日付が遡った悪意のあるコミットを57件発見した。これらのコミットは、作成者名「claude」とメールアドレス[email protected]を使用していた。タイムスタンプは、各リポジトリの最新の正当なコミットと一致するように偽造されていた。中には13年前のものとみられるものもあったが、GitHub Actionsのログによると、すべてのプッシュは発見から数日以内に行われたことが確認された。
影響を受けた組織には、asteroid-dao、weavedb、ArweaveOasis、および開発者「ocrybit」に関連する複数の個人アカウントが含まれる。
IronWormは、感染したマシン上に身を隠すためにeBPFカーネルルートキットも展開していた。オペレーターへの通信はTorネットワークを経由していた。Rustコンパイラはルートキットのソースコードをバイナリ内に残していたが、これは運用上のミスであり、分析を容易にした。.
奇妙な点の一つは、運営者が自身の仮想通貨ウォレットの復旧フレーズをマルウェアにハードコードしていたことだ。JFrogは、これは窃盗犯がテスト中に攻撃者自身のdent情報を漏洩するのを防ぐための安全策だと結論付けた。.
npmへのマルウェア攻撃が続いている
アプリケーションセキュリティ企業のOx Securityは、この攻撃はnpm上の他のパッケージに拡散する前に早期に発見されたと述べた。
悪意のあるバージョンは1日以内に非推奨としてマークされ、過去の日付のコミットのほとんどはその後まもなくGitHubから削除された。.
5月14日、 ハッカーは 、週82万2000回以上ダウンロードされているパッケージ「node-ipc」の、活動していないメンテナーアカウントを悪用した。この攻撃は、メンテナーの期限切れのメールアドレスのドメインを再登録し、npmのパスワードをリセットすることで実行された。侵害された3つの亜種には、dent90種類以上の開発者の機密情報を狙った認証情報窃盗ペイロード
セキュリティ企業のEndor LabsとStepSecurityは、JavaScriptベースのマルウェアbinding.gypを使用した同時発生的かつ別の攻撃をdent。この攻撃は、同じ期間内に同様のレジストリ汚染とGitHub Actionsへの感染を実行した。.
影響を受けるWeaveDBパッケージをインストールした開発者は、すべてのdent情報をローテーションし、ロックファイルで予期しないバージョン変更がないか確認し、npmおよびGitHubアカウントで二要素認証を有効にする必要があります。.
この記事を読んでいるあなたは、既に一歩先を行っています。 ニュースレターを購読して、その優位性を維持しましょう。
よくある質問
アイアンワームとは何ですか?また、どのように広がるのですか?
IronWormは、`npm install`実行時にプリインストールフックを介して実行されるRustの情報窃盗マルウェアです。dent情報を取得すると、盗んだGitHubトークンとnpmトークンを使用して、被害者のリポジトリに悪意のあるコミットをプッシュします。.
IronWorm攻撃によって影響を受けたnpmパッケージはどれですか?
今回の攻撃により、「asteroiddao」というnpmアカウントで公開された36個のパッケージが侵害され、それらはすべてArweave/WeaveDBのエコシステムに関連付けられていた。.
IronWormはどんなdent情報を盗むのですか?
このマルウェアは、86個の環境変数と20個のdent情報ファイルを標的としています。これには、AWSトークン、OpenAIおよびAnthropicのAPIキー、npm認証シークレット、SSHキー、Exodus暗号通貨ウォレットファイルなどが含まれます。.
免責事項。 提供される情報は取引アドバイスではありません。Cryptopolitan.com Cryptopolitan、 このページで提供される情報に基づいて行われた投資について一切の責任を負いません。tronお勧めしますdent 調査や資格のある専門家への相談を
ランダ・モーゼス
ランダ・モーゼスは、 Cryptopolitan の編集者兼記者として、テクノロジー、AI、ロボット工学、暗号通貨、詐欺、ハッキングなどを取材しています。彼女は2017年から暗号通貨業界で活動しており、Forward Protocol、AmaZix、Cryptosomniacなどで勤務経験があります。ランダはブラッドフォード大学で電気tron工学の学位を取得しています。.
速習コース
- どの仮想通貨でお金が稼げるか
- ウォレットを使ってセキュリティを強化する方法(そして実際に使う価値のあるウォレットはどれか)
- プロが使う、あまり知られていない投資戦略
- 仮想通貨への投資を始める方法(どの取引所を使うべきか、購入すべき最適な仮想通貨など)