Uus IronWorm pahavara nakatas npm tarneahela kaudu 36 paketti

Turvauurijad avastasid uue tarneahela-rünnaku, mille käigus nakatati 36 npm-paketti Rustiga kirjutatud andmevarastaja pahavara IronWorm abil. JFrogi teadlaste sõnul peidab IronWorm end eBPF-kerneli juurkomplekti taha ning suhtleb operaatoriga Tor-võrgu kaudu. Pahavara otsib 86 keskkonnamuutujat ja 20 mandaadifaili, mis võivad sisaldada OpenAI, AWS, Anthropic ja npm ligipääsuvõtmeid, SSH-võtmeid, seifide seadistusfaile ning Exodus-krüptorahakottide andmeid. IronWorm levib ise edasi, kasutades varastatud npm-mandaate uute troojastatud pakettide avaldamiseks, nakatades seeläbi teisi arendajaid ja pidevintegreerimise (CI) keskkondi. Teadlased märkasid sarnasusi varasema Shai Hulud pahavara ning IronWormi vahel — mõlemal tarneahela-rünnakul olid ühesugused muudatuste nimed. See viitab võimalusele, et IronWorm on TeamPCP nimelise rühmituse arendatud versioon. JFrog soovitab arendajatel uuendada paketid turvaliste versioonide peale, vahetada välja kõik võtmed ning lubada kõikidel kontodel kaheastmeline autentimine. Samal ajal avastasid Endor Labs ja StepSecurity eraldi Javascriptil põhineva pahavara nimega binding.gyp, mis teostas pakendihoidla mürgitamist ja GitHub Actionsi nakatamist.

Loe täispikka artiklit: Slashdot

Lisa kommentaar