Odaily Planet Daily relata que a SlowMist publicou em plataforma X que seu sistema de inteligência de ameaças monitorou uma nova atividade de malware de cadeia de suprimentos em Rust chamado IronWorm, que ativa ativamente ambientes de desenvolvedores e o ecossistema Web3/cryptocurrency por meio de pacotes npm maliciosos. As possíveis ações de ataque incluem roubo de credenciais, roubo de frases mnemônicas e senhas de carteiras, alteração de repositórios GitHub, publicação de pacotes maliciosos, roubo de chaves CI/CD, comando e controle baseado em Tor, e persistência oculta por meio de eBPF rootkit.
A SlowMist recomenda que a equipe de segurança audite commits retroativos, branches suspeitos, ganchos de construção anômalos e commits atribuídos a identidades automatizadas como claude, dependabot, renovate ou github-actions; remova ou desative as versões afetadas dos pacotes, publique uma versão limpa, rotate todos os segredos e tokens expostos, revise os artefatos de construção do GitHub Actions e reconstrua sistemas de desenvolvedores ou CI possivelmente infectados a partir de imagens limpas. A ameaça foi descoberta e analisada pela JFrogSecurity.