Svmuu訊 SlowMist 在 X 平台發文表示,其威脅情報系統監測到名為 IronWorm 的新型 Rust 供應鏈惡意軟體活動,該惡意軟體透過惡意 npm 套件積極攻擊開發者環境及 Web3/加密生態。潛在攻擊行為包括憑證竊取、錢包助記詞與密碼竊取、GitHub 儲存庫竄改、惡意套件發布、CI/CD 金鑰竊取、基於 Tor 的命令與控制,以及透過 eBPF rootkit 實現隱蔽駐留。
SlowMist 建議安全團隊審計儲存庫中的回溯提交、可疑分支、異常建置鉤子,以及歸屬於 claude、dependabot、renovate 或 github-actions 等自動化身份名下的提交;移除或棄用受影響套件版本,發布乾淨版本,輪替所有暴露的金鑰與令牌,審查 GitHub Actions 建置產物,並從乾淨映像重建可能受感染的開發者或 CI 系統。該威脅由 JFrogSecurity 發現並分析。