IronWormは、最近確認された新しいインフォスティーラー型マルウェアです。
Web3エコシステムや開発者環境を標的とした、Rustベースの新たなサプライチェーンマルウェアです。
このマルウェアはどのようなものなのでしょうか。
- 自己増殖型のワーム機能
盗んだGitHub等の認証情報を悪用し、自動でリポジトリ改ざんや悪意あるパッケージの公開を行い、自己感染を広げます。 - CI/CD環境の乗っ取り
GitHub Actionsなどの自動化システムに侵入し、組織のビルドパイプラインを通じてマルウェアを連鎖的に拡散させます。 - npmを介したサプライチェーン攻撃
開発者が日常的に利用するオープンソースのnpmエコシステムを汚染し、広範囲への感染経路を構築します。 - Web3・開発者をピンポイントに標的化
暗号資産ウォレットの秘密鍵や、AWS、OpenAIといったクラウド・AI環境のAPIキーなど「最も価値の高い資格情報」を狙い撃ちします。 - Rustベースの高度な隠蔽性
検出回避に優れたRust言語で開発され、eBPFルートキットやTor通信を用いた強力な難読化技術で潜伏します。
オープンソースのパッケージマネージャーである「npm」にて、少なくとも36個のパッケージがIronWormによってバックドア化(汚染)されていることが確認されました。
狙う環境変数の種類も多く、OpenAI、AWS、Anthropic、npmのアクセス資格情報、SSHキー、Exodus(暗号資産)ウォレットのシードフレーズなど、計86個の環境変数と20個の重要資格ファイルが窃取の標的になっています。
IronWormは、開発者から盗んだ認証情報を悪用してGitHubやnpm上に自らを再配布する、極めて危険な「自己増殖型」サプライチェーンマルウェアです。
一箇所への侵入がエコシステム全体へ次々と感染を拡大させるため、単なる情報窃盗の枠を超えた連鎖的被害をもたらします。
自動化されたBotによる不審なコミットの監査や、漏洩したトークンの迅速な破棄など、開発環境の厳重な防衛策が求められます。
IronWorm: Shai-Hulud’s rustier cousin
https://research.jfrog.com/post/iron-worm-shai-hulud-rustier-cousin/
| この記事をシェア |
|
|---|
