Le malware de chaîne d’approvisionnement IronWorm Rust cible les développeurs Web3 via des packages npm malveillants le 4 juin

D’après le suivi de sécurité de Slow Mist du 4 juin, une nouvelle campagne de logiciels malveillants de chaîne d’approvisionnement Rust appelée IronWorm attaque les développeurs Web3 via des packages npm malveillants. Les capacités d’attaque incluent le vol d’identifiants, l’extraction de phrase de seed de portefeuille et de mots de passe, la manipulation de dépôts GitHub, la publication de paquets malveillants, l’exposition de secrets CI/CD, un contrôle commande basé sur Tor, et la persistance d’un rootkit eBPF.

Les équipes de sécurité devraient auditer l’historique des dépôts à la recherche de commits, branches et hooks de build suspects, en particulier ceux provenant d’identités automatisées comme claude, dependabot, renovate ou github-actions. Les actions recommandées comprennent la suppression ou la mise au rebut des versions de paquets concernées, la publication de versions propres, la rotation de tous les identifiants et jetons exposés, et la reconstruction des systèmes de développement et CI potentiellement compromis à partir d’images propres.