C
月内に
npmエコシステムにおいて、Rustベースの情報窃取ツール「IronWorm」と新しいMiasma Wormの亜種によるサプライチェーン攻撃
📌 一言でいうと
npmエコシステムにおいて、Rustベースの情報窃取ツール「IronWorm」と新しいMiasma Wormの亜種によるサプライチェーン攻撃が確認されました。攻撃者は50以上の正当なパッケージを偽装または汚染し、開発者のマシンから機密情報を窃取し、eBPFカーネルルートキットを用いて潜伏します。また、窃取した認証情報を利用して自己拡散を行う仕組みを持っており、広範囲な影響が懸念されます。
🔍該当判定
- 社内でJavaScriptやTypeScriptを用いた開発を行っており、npm(パッケージ管理ツール)を利用している
- 開発者が個人のPCやサーバーで、npmから外部ライブラリをインストールして利用している
- npmレジストリからパッケージを導入し、ビルドやデプロイを自動化する環境を構築している
上記いずれにも該当しない → 静観でOK
✅該当時の対応
npmパッケージの依存関係を厳格に管理し、信頼できないパッケージの導入を避けること。また、開発環境における環境変数の機密情報管理を徹底し、不審なアウトバウンド通信やカーネルレベルの変更を監視することを推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】npmサプライチェーン攻撃(IronWorm / Miasma Worm)への対応について
お疲れさまです。npmエコシステムにおける新たなサプライチェーン攻撃に関する情報共有です。
■ 概要
Rustベースの情報窃取ツール「IronWorm」およびMiasma Wormの亜種が、50以上の汚染されたnpmパッケージを通じて配布されています。本マルウェアはeBPFカーネルルートキットを使用して潜伏し、開発者のマシンから環境変数などの機密情報を窃取した後、それを利用して自己拡散を行います。
■ 影響範囲
- npmレジストリから汚染されたパッケージをインストールした開発環境
- 特に「asteroiddao」アカウントに関連するパッケージ
■ 対応手順
1. 開発環境におけるnpmパッケージの依存関係(package-lock.json等)を確認し、不審なパッケージやバージョンが含まれていないか検証してください。
2. 開発マシンにおける不審なプロセスや、eBPFを利用したルートキットの兆候がないかエンドポイント監視を強化してください。
3. 漏洩の可能性がある環境変数(APIキー、認証トークン等)のローテーションを検討してください。
■ 参考情報
- JFrog Security Research
対応優先度: 高
対応期限: 速やかに確認
お疲れさまです。npmエコシステムにおける新たなサプライチェーン攻撃に関する情報共有です。
■ 概要
Rustベースの情報窃取ツール「IronWorm」およびMiasma Wormの亜種が、50以上の汚染されたnpmパッケージを通じて配布されています。本マルウェアはeBPFカーネルルートキットを使用して潜伏し、開発者のマシンから環境変数などの機密情報を窃取した後、それを利用して自己拡散を行います。
■ 影響範囲
- npmレジストリから汚染されたパッケージをインストールした開発環境
- 特に「asteroiddao」アカウントに関連するパッケージ
■ 対応手順
1. 開発環境におけるnpmパッケージの依存関係(package-lock.json等)を確認し、不審なパッケージやバージョンが含まれていないか検証してください。
2. 開発マシンにおける不審なプロセスや、eBPFを利用したルートキットの兆候がないかエンドポイント監視を強化してください。
3. 漏洩の可能性がある環境変数(APIキー、認証トークン等)のローテーションを検討してください。
■ 参考情報
- JFrog Security Research
対応優先度: 高
対応期限: 速やかに確認
Subject: [Alert] npm Supply Chain Attack (IronWorm / Miasma Worm)
Dear IT/Security Team,
We are sharing information regarding a new supply chain attack targeting the npm ecosystem.
■ Overview
A Rust-based information stealer named 'IronWorm' and a variant of the Miasma Worm are being distributed via over 50 poisoned npm packages. The malware employs an eBPF kernel rootkit for persistence and scrapes sensitive environment variables from developer machines to facilitate self-propagation.
■ Scope
- Development environments that have installed compromised packages from the npm registry.
- Specifically, packages published by the compromised account 'asteroiddao'.
■ Action Plan
1. Audit npm dependency trees (e.g., package-lock.json) to identify and remove any suspicious or unauthorized packages.
2. Enhance endpoint monitoring on developer workstations to detect unusual processes or eBPF-based rootkit activity.
3. Rotate any secrets or API keys stored in environment variables that may have been exposed.
■ Reference
- JFrog Security Research
Priority: High
Deadline: Immediate
Dear IT/Security Team,
We are sharing information regarding a new supply chain attack targeting the npm ecosystem.
■ Overview
A Rust-based information stealer named 'IronWorm' and a variant of the Miasma Worm are being distributed via over 50 poisoned npm packages. The malware employs an eBPF kernel rootkit for persistence and scrapes sensitive environment variables from developer machines to facilitate self-propagation.
■ Scope
- Development environments that have installed compromised packages from the npm registry.
- Specifically, packages published by the compromised account 'asteroiddao'.
■ Action Plan
1. Audit npm dependency trees (e.g., package-lock.json) to identify and remove any suspicious or unauthorized packages.
2. Enhance endpoint monitoring on developer workstations to detect unusual processes or eBPF-based rootkit activity.
3. Rotate any secrets or API keys stored in environment variables that may have been exposed.
■ Reference
- JFrog Security Research
Priority: High
Deadline: Immediate