npmエコシステムへの大規模サプライチェーン攻撃、IronWormとMiasmaワーム検出

概要

npmレジストリを通じて50以上の正規パッケージが改ざんされ、IronWormという情報盗聴マルウェアとMiasmaワームが配布される大規模攻撃が発生しました。攻撃者は「asteroiddao」という乗っ取られたnpmアカウントから悪意あるパッケージを公開し、Rust製のマルウェアをプリインストールフックで実行させました。このマルウェアはOpenAI、Google、AWS、Docker、Kubernetesなど主要サービスの認証情報を盗むほか、eBPFカーネルルートキットで隠蔽されます。盗まれた認証情報を使い、攻撃者は複数のGitHubリポジトリにアクセスして悪意あるコミットを挿入し、自己複製型のサプライチェーン攻撃を実行しました。GitHubアクションズワークフローの改ざんにより、さらに多くのシークレット情報を収集される危険があります。

元記事（The Hacker News）