Peneliti keamanan siber telah menemukan kampanye malware baru yang menargetkan pengembang cryptocurrency melalui rantai pasokan perangkat lunak. Malware tersebut, yang dikenal sebagai IronWorm, adalah infostealer berbasis Rust yang dirancang untuk mengumpulkan kredensial dompet, kunci layanan cloud, dan token autentikasi GitHub. Perusahaan keamanan SlowMist dan JFrog Security Research membagikan temuan pada 4 Juni 2026, mengungkap bahwa IronWorm menyebar melalui kanal distribusi perangkat lunak tepercaya, sehingga satu paket yang terkompromi dapat berdampak pada banyak proyek. Malware ini melewati proses peninjauan kode tradisional dengan menyisipkan diri ke dalam paket npm yang tampak legal. Penemuan ini menyoroti ancaman serangan rantai pasokan yang terus meningkat terhadap kripto, AI, dan lingkungan pengembangan open-source.
IronWorm Didistribusikan Melalui Paket npm Berbahaya
Investigasi JFrog mengungkap bahwa IronWorm didistribusikan melalui paket npm yang terkait dengan akun yang diidentifikasi sebagai asteroiddao. Penyerang mengunggah paket yang tampak sah, namun secara diam-diam menyisipkan malware berbasis Linux di dalam file instalasi. Proses infeksi dipicu secara otomatis melalui skrip npm preinstall, sehingga pengembang dapat tanpa sadar mengkompromikan sistem mereka dengan menginstal paket perangkat lunak yang tampak normal.
Salah satu paket yang menarik perhatian selama investigasi adalah [email protected], yang menunjukkan perilaku mencurigakan saat dieksekusi. Analisis menemukan beberapa teknik yang ditujukan untuk menghambat upaya deteksi dan rekayasa balik, termasuk string terenkripsi, versi alat packing UPX yang disesuaikan, serta struktur kode Rust yang kompleks yang dirancang untuk menyembunyikan fungsi malware. Setelah membuka kemasan kodenya, peneliti menemukan modul-modul yang terhubung ke API GitHub, aktivitas perolehan kredensial, dan mekanisme yang mendukung replikasi mandiri.
Peneliti melaporkan bahwa IronWorm tidak hanya mencuri kredensial, tetapi juga dapat memodifikasi repositori perangkat lunak dan memublikasikan ulang paket yang sudah terkompromi. Perilaku penyebaran mandiri ini menciptakan siklus di mana akun pengembang yang terkompromi digunakan untuk mendistribusikan paket berbahaya tambahan, memungkinkan malware memperluas jangkauannya ke seluruh proyek open-source dan aplikasi Web3 tanpa memerlukan interaksi langsung dari penyerang.
IronWorm Menargetkan Kredensial Pengembang dan Menggunakan Teknik Sembunyi-sembunyi
Peneliti menyatakan bahwa IronWorm menargetkan kredensial di beragam lingkungan pengembangan. Malware mencari akses ke platform cloud seperti AWS, teknologi kontainer termasuk Kubernetes dan Docker, lingkungan pengembangan artificial intelligence, serta dompet cryptocurrency. Investigasi menemukan bahwa malware secara spesifik menargetkan pengguna dompet Exodus dengan mencoba menangkap kata sandi dan frasa pemulihan saat dimasukkan.
JFrog menemukan 57 commit palsu yang didistribusikan di sembilan organisasi. Perubahan ini disamarkan sebagai pembaruan pemeliharaan rutin dan dikaitkan ke identitas otomatis tepercaya seperti claude, dependabot, dan github-actions. Taktik ini membantu aktivitas berbahaya menyatu dengan proses pengembangan perangkat lunak yang sah.
Untuk mempertahankan persistensi dan menghindari deteksi, IronWorm menerapkan rootkit eBPF yang mampu menyembunyikan proses aktif dan komunikasi jaringan. Peneliti mencatat bahwa malware menggunakan infrastruktur berbasis Tor untuk komunikasi command-and-control dan eksfiltrasi data, sehingga lalu lintas jaringannya jauh lebih sulit dilacak. Meski memiliki kapabilitas canggih, penyelidik mengidentifikasi kesalahan operasional oleh para penyerang, termasuk informasi debugging yang tertinggal di dalam malware dan satu frasa pemulihan dompet yang dikodekan secara hardcoded serta terpapar.
Serangan Rantai Pasokan Menargetkan Ekosistem Pengembangan Cryptocurrency
Penemuan IronWorm mengikuti beberapa insiden serupa yang dilaporkan sepanjang tahun. Pada bulan Mei, peneliti mengidentifikasi kampanye TrapDoor, yang memanfaatkan paket berbahaya di npm, PyPI, dan Crates.io untuk menargetkan pengembang yang bekerja di sektor cryptocurrency, decentralized finance, artificial intelligence, dan keamanan siber.
SlowMist memperingatkan tentang strain malware lain yang dikenal sebagai Mini Shai-Hulud, yang menginfeksi lebih dari 170 paket JavaScript. Pakar keamanan mencatat bahwa malware menyebar melalui pustaka open-source yang banyak digunakan, sehingga meningkatkan potensi paparan di seluruh ekosistem perangkat lunak. Awal tahun ini, penyerang mengkompromikan rilis paket Axios setelah memperoleh akses ke kredensial penerbitan.
FAQ
Apa itu malware IronWorm?
IronWorm adalah infostealer berbasis Rust yang menargetkan pengembang cryptocurrency melalui rantai pasokan perangkat lunak. Perusahaan keamanan SlowMist dan JFrog Security Research melaporkan pada 4 Juni 2026 bahwa malware mengumpulkan kredensial dompet, kunci layanan cloud, dan token autentikasi GitHub dengan menyebar melalui paket npm.
Bagaimana IronWorm menyebar di berbagai lingkungan pengembangan?
IronWorm menyebar melalui paket npm berbahaya yang diunggah oleh akun yang diidentifikasi sebagai asteroiddao. Malware menggunakan skrip npm preinstall untuk memicu infeksi otomatis dan dapat memodifikasi repositori perangkat lunak agar dapat menerbitkan ulang paket yang terkompromi, sehingga membentuk siklus penyebaran mandiri di berbagai proyek open-source.
Teknik apa yang digunakan IronWorm untuk menghindari deteksi?
IronWorm menggunakan string terenkripsi, alat packing UPX yang disesuaikan, serta struktur kode Rust yang kompleks untuk menghambat rekayasa balik. Malware menerapkan rootkit eBPF untuk menyembunyikan proses dan komunikasi jaringan, serta menggunakan infrastruktur berbasis Tor untuk operasi command-and-control.
