Аналітики з безпеки зафіксували масштабну автоматизовану кібератаку на глобальний реєстр пакетів npm, який є головною світовою платформою для публікації та завантаження готових модулів для мови програмування JavaScript. Зловмисники розробили та запустили в мережу нове небезпечне шкідливе програмне забезпечення під кодовою назвою IronWorm, що має властивості саморозмножуваного комп’ютерного хробака. Згідно з відновленою хронологією подій, зловмисники скомпрометували легітимний обліковий запис розробника під іменем “asteroiddao”, який мав високий рівень довіри в системі. Використовуючи цей акаунт, автоматизований хробак IronWorm миттєво опублікував у реєстрі шкідливі та модифіковані версії понад 50 популярних програмних пакетів. У внутрішню структуру цих модулів було вбудовано скомпільований бінарний файл у форматі Rust ELF, що виконував функції інфостілера.

Технічний аналіз структури IronWorm показав, що під час завантаження чи інтеграції будь-якого з 50 отруєних пакетів у процесі автоматичного збирання проекту на комп’ютері розробника негайно запускається прихований скрипт. Цей скрипт проводить тотальне сканування файлової системи, виявляє та викрадає ключі авторизації, збережені паролі, активні сесії браузерів та унікальні токени доступу до сторонніх сховищ коду. Усі зібрані дані негайно відправляються на командний сервер зловмисників, після чого хробак автоматично намагається використати вкрадені токени для отримання прав на редагування інших проектів розробника, реалізуючи лавиноподібний алгоритм самопоширення по всій мережі. Наслідком цієї масштабної атаки стало підтверджене зараження робочих станцій десятків інженерів по всьому світу. Адміністрація платформи npm наразі проводить екстрену операцію з видалення шкідливих версій пакетів та блокування скомпрометованих акаунтів, проте наслідки залишаються серйозними, оскільки багато автоматизованих систем збирання додатків встигли автоматично завантажити інфікований код, створивши прямі ризики для кінцевих комерційних продуктів.