C
月内に
npmエコシステムにおいて、Rustで記述された新しいインフォスティーラー「IronWorm」によるサプライチェーン攻撃が検出されました
📌 一言でいうと
npmエコシステムにおいて、Rustで記述された新しいインフォスティーラー「IronWorm」によるサプライチェーン攻撃が検出されました。このマルウェアは36個のパッケージを感染させ、開発者の環境変数、クラウドサービス(AWS, OpenAI等)の認証情報、SSH鍵などを窃取します。特筆すべきは自己拡散能力を持っており、盗んだ認証情報を利用してさらに新しい感染パッケージをnpmに公開し、被害を拡大させる仕組みとなっています。
🏢影響範囲
npmパッケージを利用するソフトウェア開発者、CI/CD環境を運用する組織
✅該当時の対応
1. npmパッケージの依存関係を精査し、不審なパッケージが含まれていないか確認すること。 2. 開発環境およびCI/CD環境におけるシークレット(APIキー、認証情報)の管理を厳格化し、環境変数への直接保存を避けること。 3. 認証情報の漏洩が疑われる場合は、直ちに全てのAPIキーとパスワードをリセットすること。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】npmサプライチェーン攻撃(IronWorm)への対応について
お疲れさまです。npmエコシステムにおける新たな脅威に関する情報共有です。
■ 概要
Rust製のインフォスティーラー「IronWorm」がnpmパッケージを介して拡散しています。開発者のマシンやCI/CD環境からクラウド認証情報(AWS, OpenAI等)やSSH鍵を窃取し、さらにその権限を用いて新たな感染パッケージを公開する自己拡散型のサプライチェーン攻撃です。eBPFルートキットによる隠蔽工作も行われます。
■ 影響範囲
- npmパッケージを利用して開発を行っている環境
- CI/CDパイプライン(Trusted Publishingを含む)
■ 対応手順
1. 依存関係ツリーを確認し、不審なパッケージや意図しない更新がないか監査してください。
2. CI/CD環境および開発端末の環境変数に保存されているシークレットの漏洩有無を確認し、必要に応じてローテーションを実施してください。
3. 最小権限の原則に基づき、npmへのパブリッシュ権限を持つアカウントの管理を厳格化してください。
■ 参考情報
- JFrog Security Research
対応優先度: 高
対応期限: 速やかに確認
お疲れさまです。npmエコシステムにおける新たな脅威に関する情報共有です。
■ 概要
Rust製のインフォスティーラー「IronWorm」がnpmパッケージを介して拡散しています。開発者のマシンやCI/CD環境からクラウド認証情報(AWS, OpenAI等)やSSH鍵を窃取し、さらにその権限を用いて新たな感染パッケージを公開する自己拡散型のサプライチェーン攻撃です。eBPFルートキットによる隠蔽工作も行われます。
■ 影響範囲
- npmパッケージを利用して開発を行っている環境
- CI/CDパイプライン(Trusted Publishingを含む)
■ 対応手順
1. 依存関係ツリーを確認し、不審なパッケージや意図しない更新がないか監査してください。
2. CI/CD環境および開発端末の環境変数に保存されているシークレットの漏洩有無を確認し、必要に応じてローテーションを実施してください。
3. 最小権限の原則に基づき、npmへのパブリッシュ権限を持つアカウントの管理を厳格化してください。
■ 参考情報
- JFrog Security Research
対応優先度: 高
対応期限: 速やかに確認
Subject: [Alert] npm Supply Chain Attack (IronWorm) Mitigation
Dear IT/Security Team,
We are sharing information regarding a new threat targeting the npm ecosystem.
■ Overview
A Rust-based infostealer named 'IronWorm' is spreading via npm packages. This malware steals cloud credentials (AWS, OpenAI, etc.) and SSH keys from developer machines and CI/CD environments. It features a self-propagation mechanism where it uses stolen credentials to publish further infected packages to npm. It also employs an eBPF rootkit to mask its activity.
■ Scope
- Environments utilizing npm packages for development.
- CI/CD pipelines (including those using Trusted Publishing).
■ Mitigation Steps
1. Audit dependency trees for suspicious packages or unexpected updates.
2. Review secrets stored in environment variables across developer workstations and CI/CD pipelines; rotate keys if compromise is suspected.
3. Enforce the principle of least privilege for accounts with npm publishing permissions.
■ Reference
- JFrog Security Research
Priority: High
Deadline: Immediate review
Dear IT/Security Team,
We are sharing information regarding a new threat targeting the npm ecosystem.
■ Overview
A Rust-based infostealer named 'IronWorm' is spreading via npm packages. This malware steals cloud credentials (AWS, OpenAI, etc.) and SSH keys from developer machines and CI/CD environments. It features a self-propagation mechanism where it uses stolen credentials to publish further infected packages to npm. It also employs an eBPF rootkit to mask its activity.
■ Scope
- Environments utilizing npm packages for development.
- CI/CD pipelines (including those using Trusted Publishing).
■ Mitigation Steps
1. Audit dependency trees for suspicious packages or unexpected updates.
2. Review secrets stored in environment variables across developer workstations and CI/CD pipelines; rotate keys if compromise is suspected.
3. Enforce the principle of least privilege for accounts with npm publishing permissions.
■ Reference
- JFrog Security Research
Priority: High
Deadline: Immediate review