Uma nova campanha maliciosa está usando pacotes npm comprometidos para roubar segredos de desenvolvedores, repositórios GitHub e ambientes de CI/CD.
A ameaça, chamada IronWorm, foi desenvolvida em Rust e mira principalmente equipes de software, projetos Web3 e operações ligadas a criptomoedas.
O ataque começa quando um desenvolvedor instala uma dependência aparentemente legítima. Dentro do pacote, os criminosos escondem um componente malicioso que é executado automaticamente durante o processo de instalação.
Depois de ativo, o malware procura informações sensíveis no computador da vítima. Entre os dados buscados estão tokens do GitHub, chaves de acesso a serviços de nuvem, credenciais usadas em pipelines de desenvolvimento e arquivos relacionados a carteiras de criptomoedas.
Esses dados são valiosos porque podem permitir que invasores acessem repositórios privados, alterem códigos, publiquem novas versões de pacotes e comprometam processos automatizados de build e entrega de software.
A campanha também tenta usar as credenciais roubadas para se espalhar. Com acesso a contas e repositórios, os criminosos podem inserir alterações maliciosas em projetos legítimos, fazendo com que outros desenvolvedores baixem versões contaminadas sem perceber.
Pesquisadores identificaram pacotes ligados ao ecossistema npm e commits suspeitos em organizações do GitHub.
