IronWorm
IronWorm — хитроумный червь, который всирается в цепочки поставок и заражает их, работает на основе NPM.
Описание[править]
Найден был в июне 2026 года, является по сути разновидностью Shai-Hulud. Он написан на Rust, распространяется через скомпрометированные пакеты реестра npm, умеет радостно всираться в ядро операционной системы, а также применяет сеть Tor для получения команд от создателя.
Атака началась с компрометации аккаунта npm asteroiddao. Злоумышленники переопубликовали все пакеты аккаунта с минимальными изменениями, сообщив что восран некий патч. Каждый заражённый пакет содержал нормальные файлы оригинального SDK, но вдобавок был докукарекан бинарный файл в поддиректории tools/, запускаемый через скрипт preinstall в package.json. Скрипт preinstall выполняется до разрешения зависимостей npm, таким образом червь всирался очень глубоко и немедленно начинал свою позорную активность.
Непосредственно зловредный код был полностью зашифрован и качественно отпетушен, так что понять его сразу нелегко. Расшифровка происходит по требованию, причём каждый сайт использует уникальные параметры и единого мастер-ключа просто нет.
Червь работает весьма грамотно, он даже скрывает процессы путём перезаписи списков /proc, скрывает сетевые соединения. Но самое главное состоит в том, что он внимательно исследует аккаунты на предмет наличия особых учётных данных от популярных сервисов типа AWS, OpenAI, Gemini и др., и передаёт их хакерам, чтобы через них далее распространять червяка. Также он ворует информацию криптокошельков, если таковые были в системе.
Используя украденные учётные данные, червяк всирается по все доступные репозитории. Интересно, что применяется аккаунт [email protected], то есть применяется печально известный говнобот Claude, который помимо цензуры и чтения нотаций пользователям занимается ещё и распространением червей.
