Los investigadores de ciberseguridad han descubierto una nueva campaña de malware dirigida a desarrolladores de criptomonedas a través de cadenas de suministro de software. El malware, conocido como IronWorm, es un infostealer basado en Rust diseñado para recopilar credenciales de monedero, claves de servicios en la nube y tokens de autenticación de GitHub. Las firmas de seguridad SlowMist y JFrog Security Research compartieron hallazgos el 4 de junio de 2026, revelando que IronWorm se propaga mediante canales de distribución de software confiables, lo que permite que un único paquete comprometido afecte a múltiples proyectos. El malware elude los procesos tradicionales de revisión de código al incrustarse en paquetes npm con apariencia legítima. Este descubrimiento pone de relieve la creciente amenaza de ataques a la cadena de suministro dirigidos a criptomonedas, IA y entornos de desarrollo de código abierto.
IronWorm distribuido a través de paquetes npm maliciosos
La investigación de JFrog reveló que IronWorm se distribuyó a través de paquetes npm asociados a una cuenta identificada como asteroiddao. Los atacantes subieron paquetes que parecían legítimos mientras incrustaban en secreto malware basado en Linux dentro de los archivos de instalación. El proceso de infección se activaba automáticamente mediante scripts npm preinstall, lo que significa que los desarrolladores podían comprometer sin saberlo sus sistemas al instalar lo que parecía ser un paquete de software normal.
Uno de los paquetes que llamó la atención durante la investigación fue [email protected], que mostró un comportamiento sospechoso durante la ejecución. El análisis reveló múltiples técnicas destinadas a dificultar la detección y los esfuerzos de ingeniería inversa, incluidas cadenas cifradas, una versión personalizada de la herramienta de empaquetado UPX y estructuras complejas de código Rust diseñadas para ocultar la funcionalidad del malware. Tras desempaquetar el código, los investigadores descubrieron módulos conectados a APIs de GitHub, actividades de recolección de credenciales y mecanismos que respaldaban la autoreplicación.
Los investigadores informaron que IronWorm no solo roba credenciales, sino que también puede modificar repositorios de software y volver a publicar paquetes comprometidos. Este comportamiento de autopropagación crea un ciclo en el que las cuentas de desarrolladores comprometidas se usan para distribuir paquetes adicionales maliciosos, lo que permite que el malware amplíe su alcance en proyectos de código abierto y aplicaciones Web3 sin requerir interacción directa de los atacantes.
IronWorm se enfoca en credenciales de desarrolladores y usa técnicas sigilosas
Los investigadores indicaron que IronWorm se dirige a credenciales en una amplia gama de entornos de desarrollo. El malware busca acceso a plataformas en la nube como AWS, tecnologías de contenedores como Kubernetes y Docker, entornos de desarrollo de inteligencia artificial y monederos de criptomonedas. Los investigadores hallaron que el malware apunta específicamente a usuarios del monedero Exodus intentando capturar contraseñas y frases de recuperación a medida que se ingresan.
JFrog descubrió 57 commits fraudulentos distribuidos entre nueve organizaciones. Estos cambios estaban disfrazados como actualizaciones rutinarias de mantenimiento y atribuidos a identidades automatizadas confiables como claude, dependabot y github-actions. Esta táctica ayudó a que la actividad maliciosa se mezclara con los procesos legítimos de desarrollo de software.
Para mantener la persistencia y evitar la detección, IronWorm despliega un rootkit eBPF capaz de ocultar procesos activos y comunicaciones de red. Los investigadores señalaron que el malware usa infraestructura basada en Tor para comunicaciones de comando y control y para la exfiltración de datos, lo que hace que el tráfico de red sea significativamente más difícil de rastrear. A pesar de sus capacidades avanzadas, los investigadores identificaron errores operativos por parte de los atacantes, incluidos datos de depuración dejados dentro del malware y una frase de recuperación de monedero codificada en el código que quedó expuesta.
Los ataques a la cadena de suministro apuntan a los ecosistemas de desarrollo de criptomonedas
El descubrimiento de IronWorm sigue varios incidentes similares reportados a lo largo del año. En mayo, los investigadores identificaron la campaña TrapDoor, que aprovechó paquetes maliciosos en npm, PyPI y Crates.io para atacar a desarrolladores que trabajan en criptomonedas, finanzas descentralizadas, inteligencia artificial y sectores de ciberseguridad.
SlowMist advirtió sobre otra variante de malware conocida como Mini Shai-Hulud, que infectó más de 170 paquetes de JavaScript. Expertos en seguridad señalaron que el malware se propagó a través de bibliotecas de código abierto ampliamente utilizadas, aumentando la exposición potencial en todo el ecosistema de software. A principios de este año, los atacantes comprometieron lanzamientos del paquete Axios después de obtener acceso a credenciales de publicación.
FAQ
¿Qué es el malware IronWorm?
IronWorm es un infostealer basado en Rust que se dirige a desarrolladores de criptomonedas a través de cadenas de suministro de software. Las firmas de seguridad SlowMist y JFrog Security Research informaron el 4 de junio de 2026 que el malware recopila credenciales de monederos, claves de servicios en la nube y tokens de autenticación de GitHub al propagarse mediante paquetes npm.
¿Cómo se propaga IronWorm entre entornos de desarrollo?
IronWorm se propaga a través de paquetes npm maliciosos cargados por una cuenta identificada como asteroiddao. El malware usa scripts npm preinstall para activar infecciones automáticas y puede modificar repositorios de software para volver a publicar paquetes comprometidos, creando un ciclo de autopropagación en proyectos de código abierto.
¿Qué técnicas usa IronWorm para evitar la detección?
IronWorm usa cadenas cifradas, una herramienta de empaquetado UPX personalizada y estructuras complejas de código Rust para dificultar la ingeniería inversa. El malware despliega un rootkit eBPF para ocultar procesos y comunicaciones de red, y usa infraestructura basada en Tor para operaciones de comando y control.
