網路資安研究人員發現一場新的惡意程式活動,透過軟體供應鏈鎖定加密貨幣開發者。該惡意程式名為 IronWorm,是一種基於 Rust 的資訊竊取程式(infostealer),用於收集錢包憑證、雲端服務金鑰以及 GitHub 驗證令牌。資安公司 SlowMist 與 JFrog Security Research 於 2026 年 6 月 4 日分享調查結果,指出 IronWorm 會透過可信任的軟體發佈管道擴散,使得單一遭入侵的套件可能影響多個專案。該惡意程式會透過內嵌於看似正常的 npm 套件來繞過傳統的程式碼審查流程。這項發現凸顯了針對加密貨幣、AI 與開源開發環境的供應鏈攻擊威脅正在升高。
IronWorm 透過惡意 npm 套件散播
JFrog 的調查顯示,IronWorm 是透過與帳戶 asteroiddao 相關的 npm 套件進行散播。攻擊者上傳看似合法的套件,同時在安裝檔案中秘密嵌入基於 Linux 的惡意程式。感染流程會透過 npm 的 preinstall 腳本自動觸發,這意味著開發者可能在安裝看似一般的軟體套件時,不知不覺就讓自身系統遭到入侵。
在調查期間引起注意的一個套件是 [email protected],其在執行過程中呈現可疑行為。分析揭示了多種用於阻礙偵測與逆向工程的技巧,包括加密字串、客製化版本的 UPX 打包工具,以及複雜的 Rust 程式碼結構,用來掩飾惡意程式的功能。在解包程式碼後,研究人員發現了與 GitHub API 相關的模組、憑證蒐集活動,以及支援自我複製的機制。
研究人員指出,IronWorm 不僅會竊取憑證,還能修改軟體儲存庫並重新發佈遭入侵的套件。這種自我傳播行為會形成一個循環:遭入侵的開發者帳戶被用來散佈更多惡意套件,使惡意程式得以在不需要攻擊者直接互動的情況下,擴大其在開源專案與 Web3 應用程式中的影響力。
IronWorm 鎖定開發者憑證並使用隱蔽技術
研究人員表示,IronWorm 會鎖定各種廣泛的開發環境中的憑證。惡意程式會嘗試取得雲端平台的存取權,例如 AWS;以及包含 Kubernetes 與 Docker 在內的容器技術;同時也針對人工智慧開發環境與加密貨幣錢包。調查人員發現,惡意程式會特別嘗試擷取 Exodus 錢包使用者輸入的密碼與復原片語(recovery phrases)。
JFrog 發現有 57 則詐欺式提交,分佈在九家組織之中。這些變更被偽裝成例行維護更新,並被歸因於可信任的自動化身分,例如 claude、dependabot 與 github-actions。這項策略有助於惡意活動在合法的軟體開發流程中看起來更自然、難以辨識。
為了維持持久性並避免被偵測,IronWorm 部署一種 eBPF rootkit,能夠隱藏正在運行的程序與網路通訊。研究人員指出,該惡意程式使用基於 Tor 的基礎設施進行指揮與控制(command-and-control)通訊與資料外傳,使其網路流量更難追蹤。儘管具備先進能力,調查人員仍在惡意程式中辨識到攻擊者的作業失誤,包括惡意程式內留下的除錯資訊,以及一段遭到揭露的硬編碼錢包復原片語。
供應鏈攻擊鎖定加密貨幣開發生態系
IronWorm 的發現接續著今年多起類似事件。5 月,研究人員辨識出 TrapDoor 活動,該活動利用跨 npm、PyPI 與 Crates.io 的惡意套件,鎖定在加密貨幣、去中心化金融、人工智慧與資安領域工作的開發者。
SlowMist 警告另一種名為 Mini Shai-Hulud 的惡意程式變種,該惡意程式感染了超過 170 個 JavaScript 套件。資安專家表示,惡意程式透過廣泛使用的開源程式庫散播,進一步增加整體軟體生態系的潛在暴露面。今年稍早,攻擊者在取得發佈憑證後,入侵了 Axios 套件的發佈版本。
常見問題
IronWorm 惡意程式是什麼?
IronWorm 是一種基於 Rust 的資訊竊取程式,透過軟體供應鏈鎖定加密貨幣開發者。SlowMist 與 JFrog Security Research 於 2026 年 6 月 4 日報告稱,該惡意程式會透過 npm 套件散播,來蒐集錢包憑證、雲端服務金鑰以及 GitHub 驗證令牌。
IronWorm 如何在開發環境中擴散?
IronWorm 會透過由與 asteroiddao 辨識為同一帳戶上傳的惡意 npm 套件進行散播。該惡意程式使用 npm preinstall 腳本觸發自動感染,並可修改軟體儲存庫以重新發佈遭入侵的套件,於是形成跨開源專案的自我傳播循環。
IronWorm 使用哪些技術來避免被偵測?
IronWorm 使用加密字串、客製化的 UPX 打包工具以及複雜的 Rust 程式碼結構來阻礙逆向工程。該惡意程式部署 eBPF rootkit 以隱藏程序與網路通訊,並使用基於 Tor 的基礎設施進行指揮與控制作業。
