网络安全研究人员发现了一项新的恶意软件活动,正通过软件供应链攻击加密货币开发者。该恶意软件名为 IronWorm,是一种基于 Rust 的信息窃取程序,旨在收集钱包凭据、云服务密钥以及 GitHub 身份验证令牌。安全公司 SlowMist 和 JFrog Security Research 于 2026 年 6 月 4 日分享了调查结果,称 IronWorm 通过可信的软件分发渠道传播,使得单个被攻陷的软件包可能影响多个项目。该恶意软件通过将自身嵌入外观合理的 npm 包来绕过传统的代码审查流程。此次发现凸显了针对加密货币、AI 和开源开发环境的供应链攻击威胁正在加剧。
IronWorm 通过恶意 npm 包分发
JFrog 的调查显示,IronWorm 是通过与一个名为 asteroiddao 的账户相关的 npm 包进行分发的。攻击者上传的包看起来是合法的,但在安装文件中秘密嵌入了基于 Linux 的恶意软件。感染过程会通过 npm preinstall 脚本被自动触发,这意味着开发者在安装表面上看似正常的软件包时,可能在不知情的情况下就会让系统被攻陷。
在调查期间引人关注的一款包是 [email protected],其在执行过程中表现出可疑行为。分析发现,存在多种旨在阻碍检测与逆向工程的技术,包括加密字符串、一个定制版本的 UPX 打包工具,以及用于掩盖恶意软件功能的复杂 Rust 代码结构。研究人员在解包代码后发现,其中包含与 GitHub API 相关的模块、凭据窃取活动,以及支持自我复制的机制。
研究人员表示,IronWorm 不仅会窃取凭据,还能修改软件仓库并重新发布被攻陷的软件包。这种自我传播行为会形成一个循环:被攻陷的开发者账号被用于分发更多恶意软件包,从而使恶意软件无需攻击者直接交互,就能在开源项目和 Web3 应用中不断扩张其影响范围。
IronWorm 瞄准开发者凭据并使用隐蔽技术
研究人员称,IronWorm 会针对广泛的开发环境中的凭据。该恶意软件试图获取诸如 AWS 之类的云平台访问权限,包含 Kubernetes 和 Docker 等容器技术、人工智能开发环境,以及加密货币钱包。调查人员发现,该恶意软件会通过在用户输入时尝试捕获密码和恢复短语,来特定瞄准 Exodus 钱包用户。
JFrog 发现了分布在九家组织中的 57 条欺诈性提交。这些改动被伪装为常规维护更新,并归因于诸如 claude、dependabot 和 github-actions 之类的受信任自动化身份。这一策略帮助恶意活动与合法的软件开发流程融合在一起。
为保持持久性并避免被发现,IronWorm 部署了一种 eBPF rootkit,能够隐藏正在运行的进程以及网络通信。研究人员指出,该恶意软件使用基于 Tor 的基础设施进行命令与控制通信以及数据外传,使得其网络流量显著更难追踪。尽管具备先进能力,调查人员仍识别出攻击者的操作失误,包括恶意软件中残留的调试信息,以及暴露的一条硬编码的钱包恢复短语。
供应链攻击瞄准加密货币开发生态系统
IronWorm 的发现是在今年内报告的多起类似事件之后出现的。5 月,研究人员识别出 TrapDoor 活动,该活动利用针对 npm、PyPI 和 Crates.io 的恶意包,来攻击从事加密货币、去中心化金融、人工智能以及网络安全领域的开发者。
SlowMist 提醒了另一种名为 Mini Shai-Hulud 的恶意软件变种,该变种感染了超过 170 个 JavaScript 包。安全专家表示,该恶意软件通过广泛使用的开源库进行传播,从而增加了整个软件生态中的潜在暴露面。今年早些时候,攻击者在获取发布凭据后,曾攻陷 Axios 包的发布版本。
FAQ
IronWorm 恶意软件是什么?
IronWorm 是一种基于 Rust 的信息窃取程序,通过软件供应链来攻击加密货币开发者。安全公司 SlowMist 和 JFrog Security Research 在 2026 年 6 月 4 日报告称,该恶意软件通过传播 npm 包来收集钱包凭据、云服务密钥以及 GitHub 身份验证令牌。
IronWorm 是如何在开发环境中传播的?
IronWorm 会通过由被识别为 asteroiddao 的账户上传的恶意 npm 包传播。该恶意软件使用 npm preinstall 脚本触发自动感染,并且可以修改软件仓库以重新发布被攻陷的软件包,从而在开源项目之间形成自我传播循环。
IronWorm 使用哪些技术来避免被发现?
IronWorm 使用加密字符串、一个定制的 UPX 打包工具以及复杂的 Rust 代码结构来阻碍逆向工程。该恶意软件部署 eBPF rootkit 用于隐藏进程和网络通信,并为命令与控制操作使用基于 Tor 的基础设施。
