Malware oculto en paquetes de Arweave roba claves, wallets y credenciales de IA

Ataque Malware en Arweave: Robo de Credenciales y Wallets

Un sofisticado ataque a la cadena de suministro de software comprometió paquetes del ecosistema Arweave, distribuyendo un malware llamado IronWorm que roba claves API, credenciales de nube y archivos de billeteras cripto.

• Campaña identificada: 36 paquetes npm infectados.
• Objetivos: Claves de AWS, OpenAI, Anthropic, GitHub y wallets cripto (incluyendo Exodus).
• Propagación: Uso de credenciales robadas para realizar commits maliciosos en GitHub.

Detalles del Ataque

Investigadores de JFrog detectaron que los atacantes comprometieron la cuenta legítima "asteroiddao" en npm para republicar paquetes de Arweave y WeaveDB con código malicioso. Al ejecutar npm install, el malware IronWorm se activaba automáticamente, buscando 86 variables de entorno y 20 tipos de archivos con credenciales.

Capacidades Avanzadas y Errores

El malware incluía un rootkit basado en eBPF para ocultarse y usaba la red Tor para comunicarse. Sin embargo, los atacantes cometieron errores, como incluir el código fuente del rootkit y una frase semilla de recuperación de criptomonedas dentro del binario.

Recomendaciones para Desarrolladores

Los expertos recomiendan:

• Rotar inmediatamente todas las credenciales.
• Revisar dependencias y archivos de bloqueo.
• Regenerar claves API sensibles.
• Activar autenticación de dos factores en GitHub y npm.

Este incidente subraya la creciente amenaza de ataques a la cadena de suministro de software, donde un punto comprometido puede afectar a miles de desarrolladores.