Investigadores de cibersegurança descobriram uma nova campanha de malware que visa programadores de criptomoedas através de cadeias de fornecimento de software. O malware, conhecido como IronWorm, é um infostealer baseado em Rust concebido para recolher credenciais de carteiras, chaves de serviços em cloud e tokens de autenticação do GitHub. As empresas de segurança SlowMist e JFrog Security Research partilharam conclusões a 4 de junho de 2026, revelando que o IronWorm se propaga através de canais de distribuição de software confiáveis, permitindo que um único pacote comprometido afete vários projetos. O malware contorna os processos tradicionais de revisão de código ao embutir-se em pacotes npm com aspeto legítimo. Esta descoberta evidencia a crescente ameaça de ataques à cadeia de fornecimento direcionados a criptomoedas, IA e ambientes de desenvolvimento open-source.
IronWorm Distribuído Através de Pacotes npm Maliciosos
A investigação da JFrog revelou que o IronWorm foi distribuído através de pacotes npm associados a uma conta identificada como asteroiddao. Os atacantes carregaram pacotes com aspeto legítimo, enquanto incorporavam secretamente malware baseado em Linux nos ficheiros de instalação. O processo de infeção foi despoletado automaticamente através de scripts npm preinstall, o que significa que os programadores podiam comprometer inadvertidamente os seus sistemas ao instalar o que parecia ser um pacote de software normal.
Um pacote que chamou a atenção durante a investigação foi [email protected], que apresentou comportamento suspeito durante a execução. A análise revelou várias técnicas destinadas a dificultar a deteção e os esforços de engenharia reversa, incluindo strings encriptadas, uma versão personalizada da ferramenta de empacotamento UPX e estruturas complexas de código Rust concebidas para ocultar a funcionalidade do malware. Após desempacotar o código, os investigadores descobriram módulos ligados a APIs do GitHub, atividades de recolha de credenciais e mecanismos que suportavam autorreplicação.
Os investigadores reportaram que o IronWorm não só rouba credenciais como também pode modificar repositórios de software e republicar pacotes comprometidos. Este comportamento auto-propagante cria um ciclo em que contas de programadores comprometidas são usadas para distribuir pacotes maliciosos adicionais, permitindo que o malware expanda o seu alcance por projetos open-source e aplicações Web3 sem exigir interação direta por parte dos atacantes.
IronWorm Visa Credenciais de Programadores e Usa Técnicas de Discrição
Os investigadores afirmaram que o IronWorm visa credenciais em uma vasta gama de ambientes de desenvolvimento. O malware procura acesso a plataformas de cloud como AWS, tecnologias de contentores incluindo Kubernetes e Docker, ambientes de desenvolvimento de inteligência artificial e carteiras de criptomoedas. Os responsáveis pela investigação descobriram que o malware visa especificamente utilizadores da carteira Exodus ao tentar capturar passwords e frases de recuperação à medida que são introduzidas.
A JFrog identificou 57 commits fraudulentos distribuídos por nove organizações. Estas alterações foram disfarçadas como atualizações de manutenção de rotina e atribuídas a identidades automatizadas confiáveis como claude, dependabot e github-actions. Esta tática ajudou a que a atividade maliciosa se misturasse com os processos legítimos de desenvolvimento de software.
Para manter persistência e evitar deteção, o IronWorm implementa um rootkit eBPF capaz de ocultar processos ativos e comunicações de rede. Os investigadores assinalaram que o malware utiliza infraestrutura baseada em Tor para comunicações de comando e controlo e para exfiltração de dados, tornando o tráfego de rede significativamente mais difícil de rastrear. Apesar das suas capacidades avançadas, os investigadores identificaram erros operacionais por parte dos atacantes, incluindo informação de debug deixada dentro do malware e uma frase de recuperação de carteira hardcoded que foi exposta.
Ataques à Cadeia de Fornecimento Visam Ecossistemas de Desenvolvimento de Criptomoedas
A descoberta do IronWorm surge na sequência de vários incidentes semelhantes reportados ao longo do ano. Em maio, os investigadores identificaram a campanha TrapDoor, que recorreu a pacotes maliciosos distribuídos entre npm, PyPI e Crates.io para visar programadores que trabalham nos setores de criptomoedas, finanças descentralizadas, inteligência artificial e cibersegurança.
A SlowMist alertou para outra estirpe de malware conhecida como Mini Shai-Hulud, que infetou mais de 170 pacotes JavaScript. Especialistas em segurança notaram que o malware se propagou através de bibliotecas open-source amplamente usadas, aumentando a exposição potencial por todo o ecossistema de software. No início deste ano, os atacantes comprometeram lançamentos do pacote Axios após obterem acesso às credenciais de publicação.
FAQ
O que é o malware IronWorm?
O IronWorm é um infostealer baseado em Rust que visa programadores de criptomoedas através de cadeias de fornecimento de software. As empresas de segurança SlowMist e JFrog Security Research reportaram a 4 de junho de 2026 que o malware recolhe credenciais de carteiras, chaves de serviços em cloud e tokens de autenticação do GitHub ao se propagar através de pacotes npm.
Como é que o IronWorm se propaga por ambientes de desenvolvimento?
O IronWorm propaga-se através de pacotes npm maliciosos carregados por uma conta identificada como asteroiddao. O malware usa scripts npm preinstall para despoletar infeções automáticas e pode modificar repositórios de software para republicar pacotes comprometidos, criando um ciclo auto-propagante por projetos open-source.
Que técnicas é que o IronWorm usa para evitar deteção?
O IronWorm usa strings encriptadas, uma ferramenta de empacotamento UPX personalizada e estruturas complexas de código Rust para dificultar a engenharia reversa. O malware implementa um rootkit eBPF para ocultar processos e comunicações de rede, e utiliza infraestrutura baseada em Tor para operações de comando e controlo.
