C
月内に
npm上の36個のパッケージが、Rust製のインフォスティーラー「IronWorm」に感染したサプライチェーン攻撃
📌 一言でいうと
npm上の36個のパッケージが、Rust製のインフォスティーラー「eBPFルートキットを利用するインフォスティーラー">IronWorm」に感染したサプライチェーン攻撃が確認されました。このマルウェアはeBPFカーネルルートキットを使用して潜伏し、OpenAI、AWS、Anthropicなどの環境変数や認証ファイルを窃取します。盗み出した認証情報を利用してnpmにトロイ化されたパッケージを公開し、さらなる感染を広げる自己増殖機能を持っています。
🔍該当判定
- Node.js(npm)を利用してアプリケーション開発を行っている
- AWS、OpenAI、AnthropicなどのAPIキーを環境変数に設定して利用している
- npmのパッケージを自社で作成し、npmレジストリに公開(パブリッシュ)している
- CI/CDツール(GitHub Actions等)でnpmパッケージの自動公開設定を行っている
上記いずれにも該当しない → 静観でOK
✅該当時の対応
npmパッケージの依存関係を精査し、不審な更新がないか確認すること。環境変数やシークレットの管理を厳格に行い、最小権限の原則を適用すること。CI/CDパイプラインにおける認証情報の漏洩対策を強化すること。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】npmサプライチェーン攻撃(IronWorm)への対応について
お疲れさまです。npmにおける新たなサプライチェーン攻撃に関する情報共有です。
■ 概要
Rust製のマルウェア「IronWorm」がnpm上の36パッケージに混入しました。eBPFルートキットを用いて検知を回避し、AWSやOpenAI等のクラウド認証情報を窃取します。また、盗んだ認証情報を用いてさらにトロイ化パッケージを配布する自己増殖的な挙動が確認されています。
■ 影響範囲
- npmパッケージを利用している開発環境およびCI/CDパイプライン
- 漏洩リスクのある認証情報: OpenAI, AWS, Anthropic, npm, SSH keys, Exodus wallet
■ 対応手順
1. 利用中のnpmパッケージに不審な更新や未知の依存関係が含まれていないか監査する
2. CI/CD環境および開発端末における環境変数(Secrets)の漏洩有無を確認し、必要に応じてローテーションを実施する
3. npmのTrusted Publishing等の認証フローにおける権限設定を再確認する
■ 参考情報
- JFrog Security Research
対応優先度: 高
対応期限: 速やかに確認
お疲れさまです。npmにおける新たなサプライチェーン攻撃に関する情報共有です。
■ 概要
Rust製のマルウェア「IronWorm」がnpm上の36パッケージに混入しました。eBPFルートキットを用いて検知を回避し、AWSやOpenAI等のクラウド認証情報を窃取します。また、盗んだ認証情報を用いてさらにトロイ化パッケージを配布する自己増殖的な挙動が確認されています。
■ 影響範囲
- npmパッケージを利用している開発環境およびCI/CDパイプライン
- 漏洩リスクのある認証情報: OpenAI, AWS, Anthropic, npm, SSH keys, Exodus wallet
■ 対応手順
1. 利用中のnpmパッケージに不審な更新や未知の依存関係が含まれていないか監査する
2. CI/CD環境および開発端末における環境変数(Secrets)の漏洩有無を確認し、必要に応じてローテーションを実施する
3. npmのTrusted Publishing等の認証フローにおける権限設定を再確認する
■ 参考情報
- JFrog Security Research
対応優先度: 高
対応期限: 速やかに確認
Subject: [Alert] npm Supply Chain Attack (IronWorm) Mitigation
Dear IT/Security Team,
We are sharing information regarding a new supply chain attack targeting the npm registry.
■ Overview
An infostealer named "IronWorm," written in Rust, has infected 36 npm packages. It employs an eBPF kernel rootkit for stealth and targets environment variables and credential files (e.g., AWS, OpenAI, Anthropic). The malware self-propagates by using stolen credentials to publish further trojanized packages.
■ Scope
- Development environments and CI/CD pipelines utilizing npm packages.
- Targeted credentials: OpenAI, AWS, Anthropic, npm, SSH keys, and Exodus wallet files.
■ Action Plan
1. Audit npm dependencies for suspicious updates or unauthorized packages.
2. Review environment variables and secrets in CI/CD pipelines and developer workstations; rotate credentials if compromise is suspected.
3. Verify the security of npm Trusted Publishing workflows and associated secrets.
■ Reference
- JFrog Security Research
Priority: High
Deadline: Immediate review
Dear IT/Security Team,
We are sharing information regarding a new supply chain attack targeting the npm registry.
■ Overview
An infostealer named "IronWorm," written in Rust, has infected 36 npm packages. It employs an eBPF kernel rootkit for stealth and targets environment variables and credential files (e.g., AWS, OpenAI, Anthropic). The malware self-propagates by using stolen credentials to publish further trojanized packages.
■ Scope
- Development environments and CI/CD pipelines utilizing npm packages.
- Targeted credentials: OpenAI, AWS, Anthropic, npm, SSH keys, and Exodus wallet files.
■ Action Plan
1. Audit npm dependencies for suspicious updates or unauthorized packages.
2. Review environment variables and secrets in CI/CD pipelines and developer workstations; rotate credentials if compromise is suspected.
3. Verify the security of npm Trusted Publishing workflows and associated secrets.
■ Reference
- JFrog Security Research
Priority: High
Deadline: Immediate review