Le malware auto-propagateur IronWorm frappe 36 paquets npm (2026)

Le 4 juin 2026, les chercheurs de JFrog ont révélé IronWorm, une attaque de chaîne d'approvisionnement auto-propagatrice ayant infecté 36 paquets du registre npm avec un logiciel voleur d'informations. Contrairement aux menaces npm classiques en JavaScript obfusqué, IronWorm est écrit en Rust et se dissimule dans un exécutable binaire déclenché par un script d'installation, communiquant avec son opérateur via le réseau Tor.

Ce qui s'est passé

Selon JFrog, la campagne a démarré depuis un compte npm compromis nommé asteroiddao, qui a publié des versions de paquets embarquant un binaire ELF Rust exécuté lors de l'installation. Le malware collecte des dizaines de variables d'environnement et de fichiers d'identifiants pouvant contenir des jetons OpenAI, AWS, Anthropic et npm, des fichiers de configuration de coffres-forts, des clés SSH et des fichiers de portefeuilles de cryptomonnaie.

Surtout, IronWorm s'auto-propage : une fois implanté dans un environnement de développeur ou de CI, il utilise les identifiants npm volés — y compris les secrets liés au flux Trusted Publishing de npm — pour publier des versions piégées des paquets appartenant à la victime, infectant ainsi d'autres développeurs et pipelines en aval. JFrog a publié la liste complète des paquets affectés et a exhorté les développeurs à migrer vers les versions corrigées, à renouveler leurs clés et à activer l'authentification à deux facteurs.

Pourquoi c'est important

Un ver qui transforme chaque mainteneur compromis en rampe de lancement pour le suivant est le scénario cauchemar de la chaîne d'approvisionnement : le rayon d'impact s'étend automatiquement, et les jetons CI volés lui permettent de passer d'un éditeur de confiance à un autre. L'usage par IronWorm d'un binaire Rust compilé et d'un canal de commande Tor relève également le niveau de difficulté de la détection par rapport aux attaques de paquets fondées sur des scripts auxquelles les défenseurs se sont habitués.