El código malicioso se infiltra en paquetes clave...

Los atacantes colocaron un ladrón de información dentro de paquetes de 36 npm vinculados al ecosistema Arweave. Se centró en las credenciales de desarrollador, las claves SSH y los archivos de billetera criptográfica Exodus. La empresa de seguridad JFrog rastreó el ataque hasta una cuenta de mantenimiento comprometida.

El malware se llama IronWorm y está creado con Rust. Se activa en el momento en que un desarrollador instala un paquete npm. Una vez en ejecución, escanea la computadora infectada en busca de 86 variables de entorno y 20 archivos de credenciales, como descubrió el equipo de investigación de JFrog. Busca tokens de AWS, claves API de Anthropic y OpenAI, credenciales de autenticación npm y datos de billetera criptográfica.

Los paquetes del proyecto Arweave contienen malware Rust oculto

Los atacantes comprometieron una cuenta npm llamada “asteroiddao”, que pertenece al grupo asteroid-dao GitHub, parte del proyecto de base de datos descentralizada Arweave/WeaveDB.

Todos los paquetes asociados con la cuenta “asteroiddao” se volvieron a publicar en poco tiempo, y cada nueva versión contenía un archivo Linux de 976 KB ubicado en un directorio herramientas/.

El archivo estaba configurado para ejecutarse automáticamente a través de un enlace de preinstalación en package.json, lo que significa que se inició antes de que npm comenzara a instalar algo. Todo lo que la víctima tenía que hacer era ejecutar npm install.

El equipo de JFrog separó el archivo y descubrió que había sido empaquetado de una manera diseñada para engañar a las herramientas de desempaquetado estándar. Dentro había un gran programa Rust que mantenía sus cadenas cifradas individualmente, con cada una bloqueada por separado, lo que hacía que el análisis fuera mucho más difícil.

Cuando finalmente se decodificaron esas cadenas, revelaron puntos finales de la API de GitHub, rutas a archivos de credenciales, cuentas de bot falsas vinculadas a ID de usuarios reales de GitHub y plantillas para inyectar código malicioso en otros registros de paquetes.

Una captura de pantalla que muestra paquetes npm infectados relacionados con el ecosistema Arweave. Fuente: Jfrog.

Los tokens de GitHub robados permiten que el malware impulse confirmaciones e infecte más repositorios

Después de recopilar las credenciales, IronWorm las usó para enviar confirmaciones a repositorios a los que la víctima podía acceder. Esas confirmaciones colocaron el mismo binario malicioso en otros paquetes, que luego podrían publicarse en npm y comprometer al siguiente desarrollador de la cadena.

JFrog encontró 57 confirmaciones maliciosas retroactivas en nueve organizaciones de GitHub. Las confirmaciones utilizaron el nombre de autor "claude" con el correo electrónico claude@users.noreply.github.com. Se falsificaron marcas de tiempo para que coincidieran con la confirmación legítima más reciente de cada repositorio. Uno parecía datar de hace 13 años, aunque los registros de GitHub Actions confirmaron que todos los envíos ocurrieron a los pocos días de su descubrimiento.

Las organizaciones afectadas incluyeron asteroid-dao, weavedb, ArweaveOasis y varias cuentas personales asociadas con el desarrollador "ocrybit".

IronWorm también implementó un rootkit de kernel eBPF para ocultarse en las máquinas infectadas. Las comunicaciones a su operador se encaminan a través de la red Tor. El compilador de Rust dejó el código fuente del rootkit en el binario, un error operativo que facilitó el análisis.

Una rareza es que el operador codificó su propia frase de recuperación de billetera de criptomonedas en el malware. JFrog concluyó que se trataba de una salvaguardia para evitar que el ladrón extrajera las credenciales del atacante durante las pruebas.

Los ataques de malware siguen afectando a npm

La empresa de seguridad de aplicaciones Ox Security dijo que el ataque se detectó temprano, antes de que pudiera extenderse a más paquetes en npm.

Las versiones maliciosas se marcaron como obsoletas al cabo de un día y la mayoría de las confirmaciones retroactivas se eliminaron de GitHub poco después.

El 14 de mayo, los piratas informáticos explotaron una cuenta de mantenimiento inactiva de node-ipc, un paquete con más de 822.000 descargas semanales. El exploit se logró volviendo a registrar el dominio de correo electrónico caducado del mantenedor y restableciendo la contraseña de npm. Tres variantes comprometidas tenían cargas útiles de robo de credenciales dirigidas a más de 90 categorías de secretos de desarrolladores.

Las empresas de seguridad Endor Labs y StepSecurity identificaron un ataque simultáneo pero distinto utilizando malware basado en JavaScript llamado vinculante.gyp, que realizó un envenenamiento de registro similar y una infección de GitHub Actions durante el mismo período de tiempo.

Los desarrolladores que instalaron cualquiera de los paquetes WeaveDB afectados deben rotar todas las credenciales, verificar los archivos de bloqueo para detectar cambios inesperados en la versión y habilitar la autenticación de dos factores en las cuentas npm y GitHub.