Дослідники з кібербезпеки виявили нову кампанію зловмисного ПЗ, що націлена на розробників криптовалюти через ланцюги постачання програмного забезпечення. Шкідлива програма, відома як IronWorm, є інфостилером на базі Rust, призначеним для збору облікових даних гаманців, ключів хмарних сервісів і токенів автентифікації GitHub. Компанії з безпеки SlowMist і JFrog Security Research поділилися висновками 4 червня 2026 року, повідомивши, що IronWorm поширюється через довірені канали дистрибуції програм, дозволяючи одному скомпрометованому пакету впливати на кілька проєктів. Шкідник обходить традиційні процеси code review, вбудовуючи себе в npm-пакети, що виглядають легітимно. Це відкриття підкреслює зростаючу загрозу атак на ланцюги постачання, спрямованих на криптовалюту, ШІ та середовища розробки з відкритим кодом.
IronWorm поширюється через зловмисні npm-пакети
У ході розслідування JFrog з’ясувала, що IronWorm поширювався через npm-пакети, пов’язані з обліковим записом, ідентифікованим як asteroiddao. Атакувальники завантажували пакети, які виглядали легітимно, та таємно вбудовували Linux-шкідливе ПЗ у файли встановлення. Процес зараження запускався автоматично через npm preinstall scripts, тобто розробники могли неусвідомлено скомпрометувати свої системи, встановивши те, що виглядало як звичайний програмний пакет.
Один із пакетів, що привернув увагу під час розслідування, був [email protected], який демонстрував підозрілу поведінку під час виконання. Аналіз показав кілька технік, покликаних заважати виявленню та спробам реверс-інжинірингу, зокрема зашифровані рядки, кастомізовану версію інструмента пакування UPX та складні структури коду на Rust, призначені для приховування функціональності шкідника. Після розпакування коду дослідники виявили модулі, пов’язані з GitHub APIs, діями з викрадення облікових даних і механізмами, що підтримують самореплікацію.
Дослідники повідомили, що IronWorm не лише краде облікові дані, а й може модифікувати репозиторії програм та перевидавати скомпрометовані пакети. Така самопоширювана поведінка створює цикл, у якому скомпрометовані облікові записи розробників використовуються для розповсюдження додаткових шкідливих пакетів, дозволяючи шкіднику розширювати охоплення серед проєктів з відкритим кодом і Web3-додатків без потреби в прямій взаємодії з боку атакувальників.
IronWorm націлений на облікові дані розробників і застосовує техніки прихованості
Дослідники заявили, що IronWorm націлений на облікові дані в широкому спектрі середовищ розробки. Шкідник шукає доступ до хмарних платформ на кшталт AWS, контейнерних технологій, зокрема Kubernetes і Docker, середовищ розробки штучного інтелекту та криптовалютних гаманців. У ході розслідування встановили, що шкідник зокрема націлюється на користувачів гаманця Exodus, намагаючись перехопити паролі та recovery phrases у момент їх введення.
JFrog виявила 57 шахрайських commits, розподілених між дев’ятьма організаціями. Зміни маскувалися під рутинні оновлення з обслуговування та приписувалися довіреним автоматизованим ідентичностям на кшталт claude, dependabot і github-actions. Ця тактика допомагала зловмисній активності зливатися з легітимними процесами розробки ПЗ.
Щоб зберігати присутність і уникати виявлення, IronWorm розгортає eBPF rootkit, здатний приховувати активні процеси та мережеві комунікації. Дослідники зазначили, що шкідник використовує інфраструктуру на основі Tor для командно-контрольних комунікацій і ексфільтрації даних, через що його мережевий трафік значно складніше відстежити. Попри розвинені можливості, слідчі виявили операційні помилки з боку атакувальників, зокрема налагоджувальну інформацію, залишену всередині шкідника, та одну recovery phrase гаманця, зашиту в коді та згодом виявлену.
Атаки на ланцюги постачання націлені на екосистеми криптовалютної розробки
Виявлення IronWorm сталося після кількох схожих інцидентів, про які повідомляли протягом року. У травні дослідники ідентифікували кампанію TrapDoor, яка використовувала зловмисні пакети в npm, PyPI та Crates.io для атаки на розробників, що працюють у сферах криптовалюти, децентралізованих фінансів, штучного інтелекту та кібербезпеки.
SlowMist попередила про інший штам шкідливого ПЗ, відомий як Mini Shai-Hulud, який інфікував понад 170 JavaScript-пакетів. Експерти з безпеки зазначили, що шкідник поширювався через широко використовувані бібліотеки з відкритим кодом, підвищуючи потенційний рівень експозиції в усьому програмному ландшафті. Раніше цього року атакувальники скомпрометували релізи Axios після отримання доступу до облікових даних для публікацій.
FAQ
Що таке зловмисне ПЗ IronWorm?
IronWorm — це інфостилер на базі Rust, який націлений на розробників криптовалюти через ланцюги постачання програмного забезпечення. Компанії з безпеки SlowMist і JFrog Security Research повідомили 4 червня 2026 року, що шкідник збирає облікові дані гаманців, ключі хмарних сервісів і токени автентифікації GitHub, поширюючись через npm-пакети.
Як IronWorm поширюється в середовищах розробки?
IronWorm поширюється через зловмисні npm-пакети, завантажені обліковим записом, ідентифікованим як asteroiddao. Шкідник використовує npm preinstall scripts, щоб запускати автоматичні зараження, а також може модифікувати репозиторії програм для перевидання скомпрометованих пакетів, створюючи самопоширюваний цикл між проєктами з відкритим кодом.
Які техніки IronWorm використовує, щоб уникати виявлення?
IronWorm використовує зашифровані рядки, кастомізований інструмент пакування UPX та складні структури коду на Rust, щоб ускладнити реверс-інжиніринг. Шкідник розгортає eBPF rootkit, щоб приховувати процеси та мережеві комунікації, і використовує інфраструктуру на основі Tor для командно-контрольних операцій.
