サイバーセキュリティ研究者は、ソフトウェア供給網を通じて暗号資産の開発者を狙う新たなマルウェアキャンペーンを発見しました。このマルウェアはIronWormとして知られ、ウォレットの認証情報、クラウドサービスのキー、GitHub認証トークンを収集することを目的にしたRustベースの情報窃取型(infostealer)です。セキュリティ企業のSlowMistとJFrog Security Researchは、2026年6月4日に調査結果を共有し、IronWormが信頼できるソフトウェア配布チャネルを通じて広がり、1つの侵害されたパッケージが複数のプロジェクトに影響を及ぼし得ることを明らかにしました。このマルウェアは、正当な見た目のnpmパッケージに自らを埋め込むことで、従来のコードレビュー手順を回避します。この発見は、暗号資産、AI、そしてオープンソース開発環境を狙うサプライチェーン攻撃の脅威が高まっていることを示しています。
IronWormは悪意のあるnpmパッケージを通じて配布された
JFrogの調査では、IronWormがasteroiddaoとして特定されたアカウントに紐づくnpmパッケージを通じて配布されていたことが明らかになりました。攻撃者は、見た目は正当なパッケージに見せながら、インストールファイルの中にLinuxベースのマルウェアをこっそり埋め込んだパッケージをアップロードしていました。感染のプロセスはnpmのpreinstallスクリプトによって自動的に開始されるため、開発者は通常のソフトウェアパッケージだと思い込むまま自分のシステムを知らずに侵害され得ます。
調査の中で注目を集めた1つのパッケージは[email protected]で、実行中に不審な挙動が確認されました。解析により、検知やリバースエンジニアリングの妨害を意図した複数の手法が明らかになりました。暗号化された文字列、UPXパッキングツールのカスタム版、そしてマルウェアの機能を隠すことを目的とした複雑なRustコード構造などが含まれます。コードをアンパックしたところ、GitHub APIに関連するモジュール、認証情報の収集(クレデンシャル・ハーベスティング)を行う活動、そして自己複製を支える仕組みが見つかりました。
研究者らは、IronWormが認証情報を盗むだけでなく、ソフトウェアリポジトリを改変し、侵害されたパッケージを再公開することも可能だと報告しています。この自己増殖型の挙動は、侵害された開発者アカウントが追加の悪意あるパッケージを配布するために使われるというサイクルを生み出し、攻撃者が直接やり取りを行わなくても、マルウェアがオープンソースのプロジェクトやWeb3アプリケーション全体へとその到達範囲を広げられるようになります。
IronWormは開発者の認証情報を狙い、ステルス手法を用いる
研究者は、IronWormが幅広い開発環境にまたがって認証情報を標的にしていると述べています。マルウェアは、AWSのようなクラウドプラットフォーム、KubernetesやDockerを含むコンテナ技術、人工知能の開発環境、そして暗号資産ウォレットへのアクセスを求めます。調査者は、マルウェアが入力されるパスワードやリカバリーフレーズを捕捉しようとすることで、特にExodusウォレットの利用者を狙っていることを突き止めました。
JFrogは、9つの組織に分散している57件の不正なコミットを発見しました。これらの変更は、claude、dependabot、github-actionsといった信頼された自動化されたアイデンティティに紐づけられ、通常の保守アップデートのように偽装されていました。この戦術により、悪意ある活動が正当なソフトウェア開発プロセスに紛れ込みやすくなっていました。
永続性を維持し検知を回避するために、IronWormはアクティブなプロセスやネットワーク通信を隠せるeBPFルートキットを配備します。研究者は、マルウェアが指揮統制(C2)通信とデータの持ち出し(データエクスフィルトレーション)のためにTorベースのインフラを利用しており、そのネットワークトラフィックを追跡しにくくしていると指摘しました。高度な機能にもかかわらず、調査者は攻撃者による運用上のミスも特定しました。たとえば、マルウェアの中に残されたデバッグ情報、そして露出してしまったハードコードされたウォレットのリカバリーフレーズなどです。
サプライチェーン攻撃が暗号資産開発エコシステムを狙う
IronWormの発見は、年内に報告されたいくつかの類似インシデントに続くものです。5月には、研究者がTrapDoorキャンペーンを特定しました。このキャンペーンは、npm、PyPI、Crates.ioにまたがる悪意のあるパッケージを活用し、暗号資産、分散型金融、人工知能、そしてサイバーセキュリティの各分野で開発に携わる人々を標的にしていました。
SlowMistは、Mini Shai-Huludとして知られる別のマルウェア株について警告しました。このマルウェアは170以上のJavaScriptパッケージに感染したとされています。セキュリティの専門家は、このマルウェアが広く使われているオープンソースのライブラリを通じて拡散し、ソフトウェア・エコシステム全体での露出の可能性が高まると指摘しました。今年初め、攻撃者が配信(公開)用の認証情報へのアクセスを入手した後、Axiosパッケージのリリースを侵害していました。
FAQ
IronWormマルウェアとは何ですか?
IronWormは、ソフトウェア供給網を通じて暗号資産の開発者を狙うRustベースの情報窃取型(infostealer)です。セキュリティ企業のSlowMistとJFrog Security Researchは、2026年6月4日に、マルウェアがnpmパッケージを介して拡散することで、ウォレットの認証情報、クラウドサービスのキー、そしてGitHub認証トークンを収集すると報告しています。
IronWormは開発環境の間でどのように広がりますか?
IronWormは、asteroiddaoとして特定されたアカウントによってアップロードされた悪意のあるnpmパッケージを通じて拡散します。このマルウェアはnpmのpreinstallスクリプトを使って自動感染を引き起こし、さらにソフトウェアリポジトリを改変して侵害されたパッケージを再公開することもできるため、オープンソースのプロジェクト全体に自己増殖的なサイクルを生み出します。
IronWormはどんな手法を使って検知を回避しますか?
IronWormは、暗号化された文字列、カスタマイズされたUPXパッキングツール、そして複雑なRustコード構造を用いてリバースエンジニアリングを困難にします。また、プロセスやネットワーク通信を隠すためにeBPFルートキットを配備し、指揮統制(C2)の操作にはTorベースのインフラを使います。
