Un ataque sofisticado a la cadena de suministro de software ha comprometido decenas de paquetes del ecosistema Arweave, lo que ha permitido a los atacantes distribuir un malware capaz de robar claves API, credenciales de nube, accesos a GitHub y archivos de billeteras cripto. La campaña, identificada por investigadores de JFrog, utilizó una cuenta legítima comprometida para propagar el código malicioso entre desarrolladores.
Investigadores han detectado malware en 36 paquetes npm vinculados al ecosistema Arweave. El programa malicioso buscaba claves de AWS, OpenAI, Anthropic, GitHub y billeteras cripto. Los atacantes utilizaron credenciales robadas para infectar nuevos repositorios y expandir la campaña. Expertos recomiendan rotar inmediatamente credenciales y habilitar autenticación multifactor.
La
Una vez obtuvieron acceso a la cuenta, republicaron todos los paquetes vinculados incorporando un archivo malicioso oculto que se ejecutaba automáticamente cuando un desarrollador realizaba una simple instalación mediante npm install. La amenaza fue bautizada como IronWorm, un malware desarrollado en Rust diseñado específicamente para robar información sensible de equipos utilizados por desarrolladores.
El análisis de JFrog reveló que IronWorm realizaba una búsqueda exhaustiva dentro de los sistemas infectados. Entre sus objetivos figuraban 86 variables de entorno y al menos 20 tipos distintos de archivos con credenciales. El malware intentaba obtener tokens de acceso de AWS, claves API de servicios de inteligencia artificial como OpenAI y Anthropic, credenciales de npm, accesos a GitHub, claves SSH y archivos asociados a billeteras de criptomonedas, incluyendo la popular wallet Exodus.
Uno de los aspectos más preocupantes del malware era su capacidad de expansión. Una vez obtenía credenciales válidas de GitHub, IronWorm intentaba utilizarlas para realizar commits maliciosos en repositorios a los que la víctima tuviera acceso. Estos cambios añadían nuevamente el malware a otros proyectos, creando un mecanismo de propagación similar al de un gusano informático moderno. Los investigadores identificaron 57 commits fraudulentos distribuidos entre nueve organizaciones distintas de GitHub.
Etiquetas: Ciberseguridad, Malware, Arweave, JFrog, IronWorm, Tecnología · Ciberseguridad global
About the Author
