Các nhà nghiên cứu an ninh mạng đã phát hiện một chiến dịch mã độc mới nhắm mục tiêu vào các nhà phát triển tiền mã hóa thông qua chuỗi cung ứng phần mềm. Loại mã độc này, được biết đến với tên IronWorm, là một infostealer viết bằng Rust, được thiết kế để thu thập thông tin đăng nhập ví, khóa dịch vụ đám mây và token xác thực GitHub. Các công ty bảo mật SlowMist và JFrog Security Research đã chia sẻ phát hiện vào ngày 4/6/2026, cho biết IronWorm lây lan thông qua các kênh phân phối phần mềm đáng tin cậy, cho phép chỉ một gói bị xâm phạm có thể ảnh hưởng đến nhiều dự án. Mã độc này vượt qua quy trình rà soát mã truyền thống bằng cách nhúng bản thân vào các gói npm trông hợp pháp. Phát hiện này cho thấy mối đe dọa ngày càng gia tăng của các cuộc tấn công chuỗi cung ứng nhắm vào lĩnh vực tiền mã hóa, AI và môi trường phát triển mã nguồn mở.
IronWorm Phân Phối Qua Các Gói npm Chứa Mã Độc
Kết quả điều tra của JFrog cho thấy IronWorm được phân phối thông qua các gói npm gắn với một tài khoản được xác định là asteroiddao. Kẻ tấn công đã tải lên các gói trông có vẻ hợp pháp trong khi bí mật nhúng mã độc chạy trên Linux vào các tệp cài đặt. Quá trình lây nhiễm được kích hoạt tự động thông qua các tập lệnh npm preinstall, nghĩa là nhà phát triển có thể vô tình làm hệ thống của mình bị xâm phạm khi cài đặt thứ tưởng như là một gói phần mềm bình thường.
Một gói gây chú ý trong quá trình điều tra là [email protected], hiển thị hành vi đáng ngờ trong lúc thực thi. Phân tích cho thấy nhiều kỹ thuật được thiết kế nhằm gây khó khăn cho việc phát hiện và nỗ lực reverse engineering, bao gồm chuỗi được mã hóa, một phiên bản tùy chỉnh của công cụ đóng gói UPX và cấu trúc mã Rust phức tạp nhằm che giấu chức năng của mã độc. Sau khi giải nén mã, các nhà nghiên cứu phát hiện các module liên quan đến các API của GitHub, hoạt động thu thập thông tin đăng nhập và cơ chế hỗ trợ tự nhân bản.
Các nhà nghiên cứu cho biết IronWorm không chỉ đánh cắp thông tin đăng nhập mà còn có thể sửa đổi các kho phần mềm và đăng lại các gói đã bị xâm phạm. Hành vi tự lan truyền này tạo ra một vòng lặp, trong đó các tài khoản nhà phát triển bị xâm phạm được dùng để phân phối thêm các gói mã độc, cho phép mã độc mở rộng phạm vi lan ra các dự án mã nguồn mở và ứng dụng Web3 mà không cần tương tác trực tiếp từ phía kẻ tấn công.
IronWorm Nhắm Mục Tiêu Thông Tin Đăng Nhập Của Nhà Phát Triển Và Dùng Kỹ Thuật Tàng Hình
Các nhà nghiên cứu cho biết IronWorm nhắm mục tiêu thông tin đăng nhập trên nhiều môi trường phát triển. Mã độc tìm cách tiếp cận các nền tảng đám mây như AWS, các công nghệ container như Kubernetes và Docker, môi trường phát triển AI và ví tiền mã hóa. Các điều tra viên phát hiện mã độc nhắm cụ thể đến người dùng ví Exodus bằng cách cố gắng thu thập mật khẩu và cụm từ khôi phục khi chúng được nhập.
JFrog phát hiện 57 commit giả mạo được phân phối qua 9 tổ chức. Những thay đổi này được ngụy trang như các bản cập nhật bảo trì thường lệ và được gán cho các danh tính tự động đáng tin cậy như claude, dependabot và github-actions. Chiến thuật này giúp hoạt động độc hại hòa trộn với quy trình phát triển phần mềm hợp pháp.
Để duy trì khả năng tồn tại và tránh bị phát hiện, IronWorm triển khai một eBPF rootkit có khả năng ẩn các tiến trình đang hoạt động và truyền thông mạng. Các nhà nghiên cứu ghi nhận mã độc sử dụng hạ tầng dựa trên Tor cho các liên lạc command-and-control và trích xuất dữ liệu, khiến lưu lượng mạng của nó khó bị truy vết hơn đáng kể. Dù có năng lực tiên tiến, các điều tra viên vẫn nhận diện các sai sót vận hành của kẻ tấn công, bao gồm thông tin debug để lại trong mã độc và một cụm từ khôi phục ví được mã hóa sẵn bị lộ.
Tấn Công Chuỗi Cung Ứng Nhắm Vào Hệ Sinh Thái Phát Triển Tiền Mã Hóa
Phát hiện về IronWorm xuất hiện sau một số sự cố tương tự được ghi nhận trong suốt năm. Vào tháng 5, các nhà nghiên cứu xác định chiến dịch TrapDoor, sử dụng các gói mã độc trên npm, PyPI và Crates.io để nhắm mục tiêu các nhà phát triển làm việc trong lĩnh vực tiền mã hóa, tài chính phi tập trung, trí tuệ nhân tạo và an ninh mạng.
SlowMist cảnh báo về một biến thể mã độc khác có tên Mini Shai-Hulud, lây nhiễm hơn 170 gói JavaScript. Các chuyên gia bảo mật cho biết mã độc lan rộng thông qua các thư viện mã nguồn mở được sử dụng rộng rãi, làm gia tăng khả năng bị phơi lộ trên toàn bộ hệ sinh thái phần mềm. Đầu năm nay, kẻ tấn công đã xâm phạm các bản phát hành gói Axios sau khi giành được quyền truy cập vào thông tin đăng tải.
FAQ
Mã độc IronWorm là gì?
IronWorm là một infostealer viết bằng Rust nhắm vào các nhà phát triển tiền mã hóa thông qua chuỗi cung ứng phần mềm. Các công ty bảo mật SlowMist và JFrog Security Research đã báo cáo vào ngày 4/6/2026 rằng mã độc thu thập thông tin đăng nhập ví, khóa dịch vụ đám mây và token xác thực GitHub bằng cách lây lan qua các gói npm.
IronWorm lan truyền qua các môi trường phát triển như thế nào?
IronWorm lây lan qua các gói npm độc hại do một tài khoản được xác định là asteroiddao tải lên. Mã độc dùng các tập lệnh npm preinstall để kích hoạt lây nhiễm tự động và có thể sửa đổi các kho phần mềm để đăng lại các gói đã bị xâm phạm, tạo ra một vòng lặp tự lan truyền trên các dự án mã nguồn mở.
IronWorm sử dụng những kỹ thuật nào để tránh bị phát hiện?
IronWorm dùng chuỗi được mã hóa, một công cụ đóng gói UPX tùy chỉnh và cấu trúc mã Rust phức tạp để gây khó khăn cho việc reverse engineering. Mã độc triển khai một eBPF rootkit để ẩn tiến trình và truyền thông mạng, đồng thời sử dụng hạ tầng dựa trên Tor cho các hoạt động command-and-control.
