攻击者利用木马技术植入 Arweave 的 WeaveDB npm 包，从而部署恶意软件。

攻击者在与 Arweave 生态系统相关的 36 个 npm 包中植入了信息窃取程序。该程序的目标是开发者dent、SSH 密钥和 Exodus 加密钱包文件。安全公司 JFrog trac到此次攻击源于一个被盗用的维护者账户。.

这款名为 IronWorm 的恶意软件使用 Rust 语言编写。它会在开发者安装 npm 包后立即激活。JFrogdent文件。 研究 它的目标是 AWS 令牌、Anthropologie 和 OpenAI API 密钥、npm 身份验证dent以及加密钱包数据。

Arweave 项目包中隐藏着 Rust 恶意软件

攻击者入侵了一个名为“asteroiddao”的 npm 帐户，该帐户属于 asteroid-dao GitHub 组，而 asteroid-dao GitHub 组是 Arweave/WeaveDB 去中心化数据库项目的一部分。.

与“asteroiddao”帐户关联的所有软件包都在短时间内重新发布，每个新版本都包含一个位于 tools/ 目录中的 976 KB Linux 文件。.

该文件被设置运行matic为通过package.json中的preinstall hook，这意味着它会在 npm 开始安装任何东西之前启动。受害者只需运行npm install即可。

JFrog 团队对文件进行了拆解，发现它的打包方式旨在欺骗标准的解包工具。文件内部是一个大型 Rust 程序，它将字符串逐个加密，每个字符串都单独锁定，这使得分析难度大大增加。.

当这些字符串最终被解码时，它们揭示了 GitHub API 端点、dent文件的路径、与真实 GitHub 用户 ID 关联的虚假机器人帐户，以及将恶意代码注入其他软件包注册表的模板。.

被盗的 GitHub 令牌会让恶意软件推送提交并感染更多代码库。

IronWorm 在窃取dent后，利用这些凭据向受害者可以访问的代码仓库推送提交。这些提交会将相同的恶意二进制文件植入其他软件包，这些软件包随后可以发布到 npm，从而感染链条上的下一个开发者。.

JFrog 在九个GitHub组织中发现了 57 个恶意提交，这些提交的作者名为“claude”，邮箱地址为[email protected] 。提交时间戳被伪造，与每个仓库最近的合法提交相匹配。其中一个提交的日期似乎可以追溯到 13 年前，但 GitHub Actions 日志证实，所有推送操作都发生在发现恶意提交后的几天内。

受影响的组织包括 asteroid-dao、weavedb、ArweaveOasis 以及与开发者“ocrybit”相关的几个个人账户。

IronWorm 还部署了一个 eBPF 内核 rootkit 来隐藏在受感染的机器上。它与运营者的通信通过 Tor 网络路由。Rust 编译器将 rootkit 的源代码遗留在二进制文件中，这一操作失误使得分析变得更加容易。.

一个奇怪之处在于，攻击者将自己的加密货币钱包恢复短语硬编码到了恶意软件中。JFrog 认为这是为了防止窃取者在测试期间窃取攻击者自身的dent而采取的安全措施。.

恶意软件攻击持续不断，npm 也未能幸免。

应用安全公司 Ox Security 表示 ，此次攻击被及早发现，在蔓延到 npm 上的更多软件包之前就被发现了。

恶意版本在一天之内就被标记为已弃用，大部分回溯日期的提交随后不久就从 GitHub 上删除了。.

5月14日， 黑客 利用了node-ipc（一个每周下载量超过82.2万次的软件包）的一个不活跃的维护者账户。此次攻击是通过重新注册该维护者已过期的电子邮件域名并重置npm密码实现的。三个被攻破的变种程序携带了dent载荷，目标是超过90类开发者机密信息。

安全公司 Endor Labs 和 StepSecuritydent了一起同时发生但不同的攻击，该攻击使用名为 binding.gyp 的基于 JavaScript 的恶意软件，在同一时间段内执行了类似的注册表投毒和 GitHub Actions 感染。.

安装了任何受影响的 WeaveDB 软件包的开发人员应轮换所有dent，检查锁定文件是否存在意外的版本更改，并在 npm 和 GitHub 帐户上启用双因素身份验证。.