IronWorm
A JFrog kutatói egy új, IronWorm néven azonosított szoftverellátásilánc-kártevőt tártak fel, amely akorábbi Shai-Huludnpm-féreg továbbfejlesztett változatának tekinthető. A malware elsődleges célpontjai a fejlesztői munkaállomások és a CI/CD környezetek, ahonnan felhőszolgáltatási kulcsokat, GitHub- és npm-tokeneket, SSH-kulcsokat, valamint egyéb érzékeny hitelesítő adatokat gyűjt össze.
Az IronWorm újdonsága, hogy a korábbi JavaScript-alapú megoldások helyett Rust nyelven íródott, emellett Tor-alapú vezérlő- és irányító infrastruktúrát, valamint egy eBPF rootkitet is használ a rejtőzködés érdekében. A kártevő Linux rendszereken képes elrejteni saját folyamatait és hálózati kapcsolatait, jelentősen megnehezítve az észlelését.
A Shai-Huludhoz hasonlóan az IronWorm nemcsak adatlopásra szolgál, hanem önterjesztő képességgel is rendelkezik. Az ellopott GitHub- és npm-hitelesítő adatok felhasználásával automatikusan módosíthatja a kompromittált fejlesztők tárolóit, majd újabb fertőzött csomagokat publikálhat a nyílt forráskódú csomagtárolókba. A JFrog szerint ezzel a támadók a legitim fejlesztői infrastruktúrát használják fel a fertőzés további terjesztésére.
A modern szoftverellátásilánc-támadások elsődleges célpontjai a fejlesztői identitások és a CI/CD környezetekben tárolt titkos hozzáférési adatok. A védekezés alapját a többtényezős hitelesítés, a hitelesítő adatok rendszeres cseréje, a függőségek folyamatos ellenőrzése és a fejlesztői környezetekben található titkok monitorozása jelenti.
