tradingkey.logo
搜索

IronWorm恶意软件在Arweave生态系统npm库中植入rootkit。

Cryptopolitan2026年6月6日 04:16
facebooktwitterlinkedin

攻击者在与 Arweave 生态系统相关的 36 个 npm 包中植入了信息窃取程序。该程序的目标是开发者dent、SSH 密钥和 Exodus 加密钱包文件。安全公司 JFrog trac到此次攻击源于一个被盗用的维护者账户。.

这款名为 IronWorm 的恶意软件使用 Rust 语言编写。它会在开发者安装 npm 包后立即激活。JFrogdent文件。 研究 它的目标是 AWS 令牌、Anthropologie 和 OpenAI API 密钥、npm 身份验证dent以及加密钱包数据。

Arweave 项目包中隐藏着 Rust 恶意软件

攻击者入侵了一个名为“asteroiddao”的 npm 帐户,该帐户属于 asteroid-dao GitHub 组,而 asteroid-dao GitHub 组是 Arweave/WeaveDB 去中心化数据库项目的一部分。.

与“asteroiddao”帐户关联的所有软件包都在短时间内重新发布,每个新版本都包含一个位于 tools/ 目录中的 976 KB Linux 文件。.

该文件被设置运行matic为通过package.json中的preinstall hook,这意味着它会在 npm 开始安装任何东西之前启动。受害者只需运行npm install即可。

JFrog 团队对文件进行了拆解,发现它的打包方式旨在欺骗标准的解包工具。文件内部是一个大型 Rust 程序,它将字符串逐个加密,每个字符串都单独锁定,这使得分析难度大大增加。.

当这些字符串最终被解码时,它们揭示了 GitHub API 端点、dent文件的路径、与真实 GitHub 用户 ID 关联的虚假机器人帐户,以及将恶意代码注入其他软件包注册表的模板。.

攻击者利用木马技术植入 Arweave 的 WeaveDB npm 包,以部署恶意软件。.
一张截图显示了与 Arweave 生态系统相关的受感染的 npm 包。来源: Jfrog。

被盗的 GitHub 令牌会让恶意软件推送提交并感染更多代码库。

IronWorm 在窃取dent后,利用这些凭据向受害者可以访问的代码仓库推送提交。这些提交会将相同的恶意二进制文件植入其他软件包,这些软件包随后可以发布到 npm,从而感染链条上的下一个开发者。.

JFrog 在九个GitHub组织中发现了 57 个恶意提交,这些提交的日期被篡改。提交者名为“claude”,邮箱地址为claude@users.noreply.github.com 。提交时间戳被伪造,与每个仓库最近的合法提交相匹配。其中一个提交的日期似乎可以追溯到 13 年前,但 GitHub Actions 日志证实,所有推送操作都发生在发现恶意提交后的几天内。

受影响的组织包括 asteroid-dao、weavedb、ArweaveOasis 以及与开发者“ocrybit”相关的几个个人账户。

IronWorm 还部署了一个 eBPF 内核 rootkit 来隐藏在受感染的机器上。它与运营者的通信通过 Tor 网络路由。Rust 编译器将 rootkit 的源代码遗留在二进制文件中,这一操作失误使得分析变得更加容易。.

一个奇怪之处在于,攻击者将自己的加密货币钱包恢复短语硬编码到了恶意软件中。JFrog 认为这是为了防止窃取者在测试期间窃取攻击者自身的dent而采取的安全措施。.

恶意软件攻击持续不断,npm 也未能幸免。

应用安全公司 Ox Security 表示 ,此次攻击被及早发现,在蔓延到 npm 上的更多软件包之前就被发现了。

恶意版本在一天之内就被标记为已弃用,大部分回溯日期的提交随后不久就从 GitHub 上删除了。.

5月14日, 黑客 利用了node-ipc(一个每周下载量超过82.2万次的软件包)的一个不活跃的维护者账户。此次攻击是通过重新注册该维护者已过期的电子邮件域名并重置npm密码实现的。三个被攻破的变种程序携带了dent载荷,目标是超过90类开发者机密信息。

安全公司 Endor Labs 和 StepSecuritydent了一起同时发生但不同的攻击,该攻击使用名为 binding.gyp 的基于 JavaScript 的恶意软件,在同一时间段内执行了类似的注册表投毒和 GitHub Actions 感染。.

安装了任何受影响的 WeaveDB 软件包的开发人员应轮换所有dent,检查锁定文件是否存在意外的版本更改,并在 npm 和 GitHub 帐户上启用双因素身份验证。.

不要只是阅读加密货币新闻,要理解它。订阅我们的新闻简报, 完全免费。

免责声明:本网站提供的信息仅供教育和参考之用,不应视为财务或投资建议。

推荐文章