NPM套件遭供應鏈攻擊，感染惡意程式IronWorm

資安公司JFrog揭露竊資軟體IronWorm的攻擊行動，這是以Rust打造的大型惡意程式，能從開發環境抓取多達86種機密資訊，本身可隱匿在eBPF核心rootkit背後運作，並透過Tor連線向操作員回報執行結果。與Shai-Hulud相同的地方在於，IronWorm使用竊得的憑證作為傳播機制，悄悄將惡意程式碼提交至受害者的GitHub儲存庫，並透過受信任的開發者工作流程GitHub Actions發布到NPM儲存庫。JFrog指出，雖然開發人員很顯然就是攻擊者的目標，但這次他們特別針對加密貨幣與Web3領域而來。

JFrog試圖將IronWorm比對所有常見的竊資軟體、eBPF rootkit、C2框架，結果發現最相近的是Shai-Hulud，因為這兩款惡意程式都是入侵開發者帳號、竊取憑證，並藉由受信任的供應鏈工作流程擴大感染範圍，而且，，還使用相同的作者名稱提交程式碼，然而，IronWorm本身也從多個層面增加防守端的困難：駭客使用難以逆向工程的Rust開發、進行字串混淆處理、以修改版的UPX打包、採用Tor進行C2通訊，以及使用eBPF rootkit。