برنامج IronWorm الخبيث الجديد يصل إلى 36 حزمة في هجوم سلسلة التوريد npm
أدى هجوم جديد على سلسلة التوريد npm إلى إصابة 36 حزمة ببرمجيات خبيثة لسرقة المعلومات قائمة على الصدأ تسمى IronWorm. وفقًا لـ BleepingComputer، تستهدف البرامج الضارة “86 متغيرًا للبيئة (أزواج قيمة المفتاح) و20 ملفًا لبيانات الاعتماد التي قد تحتوي على بيانات اعتماد OpenAI وAWS وAnthropic وnpm، وملفات تكوين vault، ومفاتيح SSH، وملفات محفظة العملة المشفرة Exodus”. من التقرير: وفقًا للباحثين في شركة JFrog لسلسلة التوريد والتطوير، فإن IronWorm مكتوب بلغة Rust، ويختبئ خلف eBPF kernel rootkit، ويتواصل مع المشغل عبر شبكة Tor. تنتشر البرامج الضارة المستندة إلى Rust ذاتيًا باستخدام بيانات الاعتماد المسروقة للنشر على npm؛ يتضمن ذلك الأسرار المرتبطة بسير عمل النشر الموثوق في npm. بمجرد اختراق بيئة المطور أو بيئة CI، يمكنه نشر إصدارات طروادة من الحزم المملوكة للضحية، والتي تصيب بعد ذلك مطورين إضافيين وأنظمة CI. يشبه هذا السلوك من الناحية المفاهيمية سلوك Shai Hulud، الذي تم نشر كوده على GitHub مؤخرًا. على الرغم من أن باحثي JFrog لم يجدوا صلة واضحة بين IronWorm وShai Hulud، إلا أنهم لاحظوا نفس أسماء الالتزام في كلا الهجومين على سلسلة التوريد. وهذا يفتح احتمال أن تكون البرمجيات الخبيثة الجديدة عبارة عن تطور لحمولة TeamPCP، حيث يبدو أن IronWorm عبارة عن “برنامج مزروع مخصص ومُصمم بعناية من عملية لها بنيتها التحتية الخاصة”. (…) توفر الشركة قائمة بجميع أسماء الحزم المتأثرة وإصداراتها في التقرير وتوصي المطورين بالترقية إلى الإصدارات الثابتة، وتدوير مفاتيحهم، وتمكين المصادقة الثنائية (2FA) لجميع الحسابات. في الوقت نفسه، رصدت Endor Labs وStepSecurity هجومًا مشابهًا جدًا ولكنه متميز يتضمن برنامجًا ضارًا يستند إلى JavaScript يُسمى Binding.gyp، يؤدي إلى تسميم السجل وإصابة GitHub Actions، والذي يتكشف خلال نفس الإطار الزمني.
تم النشر: 2026-06-04 23:00:00
مصدر: it.slashdot.org
