SlowMist 在 X 平台发文表示,其威胁情报系统监测到名为 IronWorm 的新型 Rust 供应链恶意软件活动,该恶意软件通过恶意 npm 包积极攻击开发者环境及 Web3/加密生态。潜在攻击行为包括凭证窃取、钱包助记词与密码窃取、GitHub 仓库篡改、恶意包发布、CI/CD 密钥窃取、基于 Tor 的指挥与控制,以及通过 eBPF rootkit 实现隐蔽驻留。
SlowMist 建议安全团队审计仓库中的回溯提交、可疑分支、异常构建钩子,以及归属于 claude、dependabot、renovate 或 github-actions 等自动化身份名下的提交;移除或弃用受影响包版本,发布清洁版本,轮换所有暴露的密钥与令牌,审查 GitHub Actions 构建产物,并从清洁镜像重建可能受感染的开发者或 CI 系统。该威胁由 JFrogSecurity 发现并分析。