IronWorm: el malware que infectó 36 paquetes de npm en un sofisticado ataque a la cadena de suministro

Investigadores de seguridad detectaron IronWorm, un malware de cadena de suministro escrito en Rust que logró infectar al menos 36 paquetes del registro npm, con más de 32,000 descargas mensuales combinadas. El ataque fue atribuido a una cuenta comprometida llamada "asteroiddao" desde la cual se publicaron versiones maliciosas de los paquetes afectados.

El malware es técnicamente sofisticado: se distribuye como un binario ELF de 976 KB ejecutado mediante un hook de preinstalación, incluye un rootkit a nivel de kernel basado en eBPF para ocultar sus procesos y conexiones de red, y cifra todas sus cadenas internas con claves únicas por llamada para evadir la detección por firmas.

Su mecanismo de propagación es especialmente preocupante: una vez instalado, IronWorm roba credenciales y las usa para replicarse en repositorios de GitHub de las víctimas, desde donde se publica de nuevo al registro de npm aprovechando flujos de publicación de confianza. Así se autoperpetúa a través de la red de confianza de los desarrolladores.

El malware apunta a 86 variables de entorno y más de 20 rutas de archivos de credenciales, cubriendo servicios como AWS, GCP, Azure, Kubernetes, Docker, GitHub y claves de API de los principales proveedores de IA de 2026, incluyendo Anthropic, OpenAI, Gemini y Mistral. Los investigadores de OX Security señalaron que la amenaza fue mitigada antes de que se extendiera a paquetes más populares.