أفادت SlowMist عبر منصة X أن نظامها لمعلومات التهديدات رصد نشاطًا جديدًا لبرمجية خبيثة من نوع Rust تُسمى IronWorm، والتي تهاجم بنشاط بيئات المطورين وبيئة Web3/العملات المشفرة عبر حزم npm خبيثة. وتشمل السلوكيات الهجومية المحتملة سرقة بيانات الاعتماد، وسرقة عبارات الاسترداد وكلمات المرور للمحفظة، وتعديل مستودعات GitHub، ونشر حزم خبيثة، وسرقة مفاتيح CI/CD، واستخدام Tor للقيادة والتحكم، بالإضافة إلى التثبيت الخفي عبر eBPF rootkit.
توصي SlowMist فرق الأمان بمراجعة التزامات الرجوعية، والفرع المشبوه، وخطوات البناء غير الطبيعية في المستودع، بالإضافة إلى التزامات المنسوبة إلى هويات أتمتة مثل claude وdependabot وrenovate أو github-actions؛ إزالة أو إيقاف إصدارات الحزم المتأثرة، ونشر إصدار نظيف، وتبديل جميع المفاتيح والرموز المكشوفة، ومراجعة نواتج بناء GitHub Actions، وإعادة بناء أنظمة المطورين أو CI التي قد تكون مصابة من صور نظيفة. تم اكتشاف هذا التهديد وتحليله من قبل JFrogSecurity.