Uma nova campanha de malware chamada IronWorm tem sido identificada como uma ameaça sofisticada à cadeia de suprimentos de software, focada especificamente em desenvolvedores de software e construtores de criptomoedas. A análise detalhada revela que o malware se propaga através de pacotes npm envenenados, executando automaticamente um binário Linux ocioso no momento da instalação, sem exigir interação adicional do usuário.
Descoberta e escopo da campanha
Analistas de segurança da JFrog identificaram a campanha IronWorm, que utiliza um infostealer personalizado baseado em Rust. A ameaça foi projetada para raspar todas as informações sensíveis encontradas na máquina do desenvolvedor, incluindo credenciais, chaves de API e frases de recuperação de carteiras de criptomoedas. O malware opera de forma furtiva, escondendo-se atrás de um rootkit de nível de kernel e se comunicando com seu operador através da rede Tor.
O escopo do ataque é notável em sua agressividade. Os pesquisadores encontraram 57 commits maliciosos com datas retroativas espalhados por nove organizações no GitHub. Alguns desses commits foram feitos para parecerem com anos de idade, copiando o carimbo de data e hora do último commit real do repositório, uma tática projetada para evitar levantar suspeitas durante revisões de código rotineiras.
Análise técnica detalhada do malware
O IronWorm esconde seu binário malicioso dentro de um caminho de pasta que a maioria dos desenvolvedores nunca pensaria em verificar. O binário é compactado usando uma ferramenta UPX modificada, com a assinatura padrão removida para evitar descompactação automatizada. Uma vez em execução, o malware decodifica suas strings internas uma de cada vez, usando uma chave diferente em cada localização, o que torna a engenharia reversa incomumente lenta e difícil.
A roubo de credenciais é amplo e deliberado. O malware verifica 86 variáveis de ambiente diferentes, cobrindo plataformas em nuvem, bancos de dados, sistemas CI/CD, tokens de controle de origem e chaves de API de serviços de IA. Além disso, ele lê mais de 20 caminhos de arquivos de credenciais do disco, incluindo configurações de carteiras e arquivos de autenticação de ferramentas que se tornaram populares recentemente.
Módulos específicos de roubo de dados
Um módulo dedicado visa especificamente a carteira desktop Exodus, injetando código que captura a senha da carteira e a frase de recuperação no momento em que o usuário a desbloqueia. Um módulo separado visa pods Kubernetes, lendo tokens de conta de serviço e despejando todas as informações secretas que pode alcançar.
A capacidade de roubo de dados do IronWorm é projetada para maximizar o valor financeiro e operacional para os atacantes. Ao focar em desenvolvedores de cripto e web3, os criminosos visam ativos de alto valor que podem ser rapidamente convertidos em dinheiro ou usados para comprometer sistemas corporativos adicionais.
Rootkit e mecanismo de autorreplicação
O IronWorm carrega um rootkit baseado em eBPF que esconde seus processos e conexões de rede das ferramentas de monitoramento de sistema padrão. Este rootkit opera no nível do kernel, reescrevendo listas de processos antes que qualquer software de monitoramento possa vê-los. Comandos como ps e top retornam resultados limpos, enquanto o malware continua a ser executado em segundo plano.
O rootkit também bloqueia tentativas de anexar um depurador ao processo do malware, e tentar fazer isso pode travar o shell que executa o comando. A autorreplicação através do npm é igualmente bem pensada. Quando o malware é executado dentro de um ambiente CI, ele usa o fluxo de publicação confiável do próprio npm para obter credenciais de publicação de curta duração.
Medidas de mitigação recomendadas
Os pesquisadores recomendam auditar todos os repositórios aos quais uma conta comprometida tinha acesso de gravação, verificando commits com datas retroativas, ganchos de construção inesperados e alterações atribuídas a nomes de automação como dependabot ou github-actions fora de seu contexto habitual. Todas as chaves de API e segredos vinculados à conta afetada devem ser rotacionados imediatamente.
As versões maliciosas dos pacotes devem ser despublicadas com um aviso de segurança claro emitido para alertar os usuários a jusante. É crucial implementar verificações de integridade de pacotes e monitorar comportamentos anômalos em ambientes de desenvolvimento, especialmente durante a instalação de pacotes npm.
Indicadores de comprometimento (IoCs)
- Email do autor do commit: claude@users.noreply.github.com
- Pacotes npm maliciosos: weavedb-lite@0.1.1, weavedb-sdk-base@0.21.1, test-weavedb-sdk@1.1.1
- Endereço de carteira cripto: 0x7e28D9889f414B06c19a22A9Bd316f0AC279a4d6
- Endpoint C2: /api/agent (baseado em Tor)
- Caminho de arquivo: tools/setup
O que os CISOs devem fazer imediatamente
As equipes de segurança devem revisar imediatamente os logs de instalação de pacotes em ambientes de desenvolvimento e CI/CD. A implementação de políticas de aprovação de pacotes e a verificação de assinaturas de pacotes são essenciais para prevenir a execução de binários não autorizados. Além disso, a segmentação de redes de desenvolvimento pode limitar o impacto de um comprometimento inicial.