Cybersicherheitsforscher haben eine neue Malware-Kampagne aufgedeckt, die Kryptografie-Entwickler über Software- Lieferketten angreift. Die als IronWorm bekannte Malware ist ein in Rust entwickelter Infostealer, der Wallet-Zugangsdaten, Cloud-Service-Keys und GitHub-Authentifizierungstokens sammelt. Die Sicherheitsfirmen SlowMist und JFrog Security Research teilten ihre Erkenntnisse am 4. Juni 2026 mit. Dabei wurde bekannt, dass sich IronWorm über vertrauenswürdige Software-Vertriebskanäle verbreitet und so ein einzelnes kompromittiertes Paket mehrere Projekte beeinträchtigen kann. Die Malware umgeht traditionelle Code-Review-Prozesse, indem sie sich in legitim aussehende npm-Pakete einbettet. Die Entdeckung zeigt die wachsende Bedrohung durch Supply-Chain-Angriffe, die auf Kryptowährungen, KI und Open-Source-Entwicklungsumgebungen abzielen.
IronWorm Distributed Through Malicious npm Packages
Die Untersuchung von JFrog ergab, dass IronWorm über npm-Pakete verbreitet wurde, die einem Konto zugeordnet sind, das als asteroiddao identifiziert wurde. Angreifer luden Pakete hoch, die legitim wirkten, während sie heimlich Linux-basierte Malware in den Installationsdateien einbetteten. Der Infektionsprozess wurde automatisch über npm-preinstall-Skripte ausgelöst. Das bedeutet: Entwickler konnten ihre Systeme unwissentlich kompromittieren, indem sie das als normales Softwarepaket erscheinende Produkt installierten.
Ein Paket, das im Rahmen der Untersuchung auffiel, war [email protected], das bei der Ausführung verdächtiges Verhalten zeigte. Die Analyse ergab mehrere Techniken, die darauf ausgerichtet waren, Erkennung und Reverse Engineering zu erschweren, darunter verschlüsselte Strings, eine angepasste Version des UPX-Packing-Tools und komplexe Rust-Code-Strukturen, die dazu dienen, die Funktionalität der Malware zu verschleiern. Nach dem Entpacken des Codes fanden die Forscher Module im Zusammenhang mit GitHub-APIs, Aktivitäten zur Credential-Ernte sowie Mechanismen, die eine Selbst-Replikation unterstützten.
Die Forschenden berichteten, dass IronWorm nicht nur Zugangsdaten stiehlt, sondern auch Software-Repositories modifizieren und kompromittierte Pakete erneut veröffentlichen kann. Dieses selbstpropagierende Verhalten erzeugt einen Kreislauf, in dem kompromittierte Entwicklerkonten zur Verteilung weiterer bösartiger Pakete genutzt werden. So kann sich die Malware ohne direkte Interaktion durch Angreifer über Open-Source-Projekte und Web3-Anwendungen hinweg ausbreiten.
IronWorm Targets Developer Credentials and Uses Stealth Techniques
Die Forschenden erklärten, dass IronWorm Zugangsdaten über ein breites Spektrum von Entwicklungsumgebungen hinweg ins Visier nimmt. Die Malware sucht nach Zugriff auf Cloud-Plattformen wie AWS, Container-Technologien einschließlich Kubernetes und Docker, Entwicklungsumgebungen für künstliche Intelligenz sowie Krypto-Wallets. Die Ermittler fanden, dass die Malware speziell Nutzer der Exodus-Wallet anspricht, indem sie versucht, Passwörter und Wiederherstellungssätze abzufangen, während diese eingegeben werden.
JFrog fand 57 betrügerische Commits, die über neun Organisationen verteilt waren. Diese Änderungen waren als routinemäßige Wartungsupdates getarnt und wurden vertrauenswürdigen automatisierten Identitäten wie claude, dependabot und github-actions zugeschrieben. Diese Taktik half dabei, bösartige Aktivitäten in legitime Software-Entwicklungsprozesse einzumischen.
Um Persistenz aufrechtzuerhalten und eine Erkennung zu vermeiden, setzt IronWorm einen eBPF-Rootkit ein, der in der Lage ist, aktive Prozesse und Netzwerkkommunikationen zu verbergen. Die Forschenden stellten fest, dass die Malware für Command-and-Control-Kommunikationen und Datenexfiltration auf Tor-basierte Infrastruktur setzt. Dadurch wird der Netzwerkverkehr deutlich schwerer nachverfolgbar. Trotz ihrer fortgeschrittenen Fähigkeiten identifizierten die Ermittler jedoch operative Fehler der Angreifer, darunter Debugging-Informationen, die in der Malware zurückgelassen wurden, sowie einen fest in den Code eingebetteten Wallet-Wiederherstellungssatz, der offengelegt wurde.
Supply Chain Attacks Target Cryptocurrency Development Ecosystems
Die Entdeckung von IronWorm folgt mehreren ähnlichen Vorfällen, die im Laufe des Jahres gemeldet wurden. Im Mai identifizierten Forschende die TrapDoor-Kampagne, die bösartige Pakete über npm, PyPI und Crates.io einsetzte, um Entwickler anzugreifen, die in den Bereichen Kryptowährung, dezentrale Finanzen, künstliche Intelligenz und Cybersicherheit arbeiten.
SlowMist warnte vor einem weiteren Malware- Stamm namens Mini Shai-Hulud, der mehr als 170 JavaScript-Pakete infizierte. Sicherheitsexperten stellten fest, dass sich die Malware über weit verbreitete Open-Source-Bibliotheken verbreitete. Das erhöht die potenzielle Exposition innerhalb des Software-Ökosystems. Bereits in diesem Jahr hatten Angreifer Veröffentlichungen des Axios-Pakets kompromittiert, nachdem sie Zugriff auf die Publishing-Zugangsdaten erhalten hatten.
FAQ
Was ist die IronWorm-Malware?
IronWorm ist ein in Rust entwickelter Infostealer, der Kryptografie-Entwickler über Software- Lieferketten angreift. Die Sicherheitsfirmen SlowMist und JFrog Security Research berichteten am 4. Juni 2026, dass die Malware Wallet-Zugangsdaten, Cloud-Service-Keys und GitHub-Authentifizierungstokens sammelt, indem sie sich über npm-Pakete verbreitet.
Wie verbreitet sich IronWorm über Entwicklungsumgebungen?
IronWorm verbreitet sich über bösartige npm-Pakete, die von einem Konto hochgeladen werden, das als asteroiddao identifiziert wurde. Die Malware nutzt npm-preinstall-Skripte, um automatische Infektionen auszulösen, und kann Software-Repositories modifizieren, um kompromittierte Pakete erneut zu veröffentlichen. So entsteht ein selbstpropagierender Kreislauf über Open-Source-Projekte hinweg.
Welche Techniken nutzt IronWorm, um einer Erkennung zu entgehen?
IronWorm verwendet verschlüsselte Strings, ein angepasstes UPX-Packing-Tool und komplexe Rust-Code-Strukturen, um Reverse Engineering zu erschweren. Die Malware setzt einen eBPF-Rootkit ein, um Prozesse und Netzwerkkommunikationen zu verbergen, und nutzt Tor-basierte Infrastruktur für Command-and-Control-Operationen.
