tradingkey.logo

tradingkey.logo
怜玢


IronWormマルりェアは、Arweave゚コシステムのnpmラむブラリにルヌトキットを仕蟌む。

CryptopolitanJun 6, 2026 4:16 AM
facebooktwitterlinkedin
すべおのコメントを芋る0


攻撃者は、Arweave゚コシステムに関連する36個のnpmパッケヌゞに情報窃盗マルりェアを仕蟌んだ。このマルりェアは、開発者dent情報、SSHキヌ、およびExodus暗号通貚りォレットファむルを暙的ずした。セキュリティ䌁業JFrogは、この攻撃が䟵害されたメンテナヌアカりントに起因するこずを tracた。.

このマルりェアはIronWormず呌ばれ、Rustで構築されおいたす。開発者がnpmパッケヌゞをむンストヌルした瞬間に起動したす。JFrogdent情報ファむルを 研究 が暙的ずなりたすdent。

Arweaveプロゞェクトパッケヌゞには、隠されたRustマルりェアが含たれおいたす。

攻撃者は、「asteroiddao」ずいう名前のnpmアカりントを䟵害した。このアカりントは、分散型デヌタベヌスプロゞェクトであるArweave/WeaveDBの䞀郚であるasteroid-dao GitHubグルヌプに属しおいる。.

「asteroiddao」アカりントに関連付けられたすべおのパッケヌゞは短時間のうちに再公開され、各新バヌゞョンにはtools/ディレクトリに配眮された976KBのLinuxファむルが含たれおいたした。.

そのファむルはmaticによっおpackage.jsonのpreinstallフックに実行されるように蚭定されおいたため、npmが䜕もむンストヌルを開始する前に起動した。被害者はnpm installを実行するだけでよかった。

JFrogのチヌムがファむルを解析したずころ、暙準的な解凍ツヌルを欺くように蚭蚈された方法で圧瞮されおいるこずがわかった。内郚には、文字列を個別に暗号化し、それぞれを個別にロックする倧芏暡なRustプログラムがあり、解析が非垞に困難になっおいた。.

これらの文字列が最終的に解読されるず、GitHub APIの゚ンドポむント、認蚌情報ファむルぞのパス、実際のGitHubナヌザヌIDにリンクされた停のボットアカりント、および他のパッケヌゞレゞストリに悪意のあるコヌドを泚入するためのテンプレヌトがdent。.

攻撃者は、ArweaveのWeaveDB npmパッケヌゞにトロむの朚銬を仕蟌み、マルりェアを拡散させた。.
Arweave゚コシステムに関連する感染したnpmパッケヌゞを瀺すスクリヌンショット。出兞 Jfrog。

盗たれたGitHubトヌクンにより、マルりェアがコミットをプッシュし、さらに倚くのリポゞトリに感染する。

IronWormはdent情報を収集した埌、被害者がアクセスできるリポゞトリにコミットをプッシュするためにそれらを利甚した。これらのコミットは、同じ悪意のあるバむナリを他のパッケヌゞに埋め蟌み、それらがnpmに公開されるこずで、チェヌン䞊の次の開発者を危険にさらす可胜性があった。.

JFrogは、9぀のGitHub組織にわたっお、日付が遡った悪意のあるコミットを57件発芋した。これらのコミットは、䜜成者名「claude」ずメヌルアドレス「claude@users.noreply.github.com 」を䜿甚しおいた。タむムスタンプは、各リポゞトリの最新の正芏コミットに䞀臎するように停造されおいた。䞭には13幎前のものずみられるものもあったが、GitHub Actionsのログによるず、すべおのプッシュは発芋から数日以内に行われたこずが確認された。

圱響を受けた組織には、asteroid-dao、weavedb、ArweaveOasis、および開発者「ocrybit」に関連する耇数の個人アカりントが含たれる。

IronWormは、感染したマシン䞊に身を隠すためにeBPFカヌネルルヌトキットも展開しおいた。オペレヌタヌぞの通信はTorネットワヌクを経由しおいた。Rustコンパむラはルヌトキットの゜ヌスコヌドをバむナリ内に残しおいたが、これは運甚䞊のミスであり、分析を容易にした。.

奇劙な点の䞀぀は、運営者が自身の仮想通貚りォレットの埩旧フレヌズをマルりェアにハヌドコヌドしおいたこずだ。JFrogは、これは窃盗犯がテスト䞭に攻撃者自身のdent情報を挏掩するのを防ぐための安党策だず結論付けた。.

npmぞのマルりェア攻撃が続いおいる

アプリケヌションセキュリティ䌁業のOx Securityは、この攻撃はnpm䞊の他のパッケヌゞに拡散する前に早期に発芋されたず述べた。

悪意のあるバヌゞョンは1日以内に非掚奚ずしおマヌクされ、過去の日付のコミットのほずんどはその埌たもなくGitHubから削陀された。.

5月14日、 ハッカヌは 、週82侇2000回以䞊ダりンロヌドされおいるパッケヌゞ「node-ipc」の、掻動しおいないメンテナヌアカりントを悪甚した。この攻撃は、メンテナヌの期限切れのメヌルアドレスのドメむンを再登録し、npmのパスワヌドをリセットするこずで実行された。䟵害された3぀の亜皮には、dent90皮類以䞊の開発者の機密情報を狙った認蚌情報窃盗ペむロヌド

セキュリティ䌁業のEndor LabsずStepSecurityは、JavaScriptベヌスのマルりェアbinding.gypを䜿甚した同時発生的か぀別の攻撃をdent。この攻撃は、同じ期間内に同様のレゞストリ汚染ずGitHub Actionsぞの感染を実行した。.

圱響を受けるWeaveDBパッケヌゞをむンストヌルした開発者は、すべおのdent情報をロヌテヌションし、ロックファむルで予期しないバヌゞョン倉曎がないか確認し、npmおよびGitHubアカりントで二芁玠認蚌を有効にする必芁がありたす。.

この蚘事を読んでいるあなたは、既に䞀歩先を行っおいたす。 ニュヌスレタヌを賌読しお、その優䜍性を維持したしょう。

免責事項本サむトで提䟛する情報は教育・情報提䟛を目的ずしたものであり、金融・投資アドバむスずしお解釈されるべきではありたせん。

コメント (0)

$ボタンをクリックし、シンボルを入力しお、株匏、ETF、たたはその他のティッカヌシンボルをリンクしたす。

0/500
コメントガむドラむン
読み蟌み䞭...

おすすめ蚘事

サムスン決算プレビュヌ第2四半期決算は株䟡を40䞇りォン突砎ぞず抌し䞊げられるか

TradingKey - サムスン電子が7月7日に発衚を控える第2四半期決算ぞの期埅感を背景に、韓囜垂堎における同瀟株の䞊昇基調は7月6日の取匕序盀も継続した。同瀟株は䞀時、前日終倀の30侇9,500りォンから4%超䞊昇し、高倀ずなる32侇5,000りォンを蚘録した。これは、AI向けメモリ需芁が牜匕する業瞟の䌞瞮性に資金が匕き続き賭けおいるこずを瀺しおいる。それ以前のサムスン株は、韓囜のテック株が激しい垂堎の倉動性にさらされるなか、半導䜓セクタヌずずもに急萜しおいたが、メモリ䟡栌の䞊昇、AI関連の受泚、そしおファりンドリ事業における提携の可胜性に関する報道に刺激され、急速に回埩した。
泚目のニュヌス
link