文章总结： 文档披露IronWorm和Miasma蠕虫新变体针对npm发起的供应链攻击。IronWorm通过入侵账户发布木马化包，利用preinstall钩子窃取凭证并借助GitHub自复制；Miasma变种使用157字节binding.gyp文件绕过检测，窃取云凭证并注入持久化后门。攻击呈现自复制、自适应特性，系统性绕过传统检测点，并将GitHub等平台武器化为C2载体，同时延伸至AI开发工具并滥用Sigstore签名机制。 综合评分： 85 文章分类： 供应链安全,漏洞分析,恶意软件,安全运营,WEB安全

IronWorm 和 Miasma 蠕虫新变体瞄准 npm，发动供应链攻击

Ravie Lakshmanan Ravie Lakshmanan

代码卫士

2026年6月8日 17:04 北京

在小说阅读器读本章

去阅读

 聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

专栏·供应链安全

数字化时代，软件无处不在。软件如同社会中的“虚拟人”，已经成为支撑社会正常运转的最基本元素之一，软件的安全性问题也正在成为当今社会的根本性、基础性问题。

随着软件产业的快速发展，软件供应链也越发复杂多元，复杂的软件供应链会引入一系列的安全问题，导致信息系统的整体安全防护难度越来越大。近年来，针对软件供应链的安全攻击事件一直呈快速增长态势，造成的危害也越来越严重。

为此，我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯，分析供应链安全风险，提供缓解建议，为供应链安全保驾护航。

注：以往发布的部分供应链安全相关内容，请见文末“推荐阅读”部分。

近期，npm 生态接连发生两起严重的供应链攻击事件：IronWorm 利用被入侵的账户发布木马化包，通过 preinstall钩子窃取凭证并在 GitHub 上自我复制；Miasma 蠕虫新变种则借助仅 157 字节的 binding.gyp文件绕过安全检测，窃取数据并注入持久化后门。这两起攻击共同揭示了软件供应链安全的新动向。

IronWorm 事件概述

JFrog 公司发布报告称，IronWorm 攻击源于 npm 账户 asteroiddao 被入侵，攻击者通过 preinstall 钩子投放 Rust 编写的信息窃取器，结合 eBPF 内核 rootkit 和 Tor 通信，并利用窃取的 GitHub 凭证实现自复制。

具体而言，攻击者入侵 asteroiddao 账户后，在多个合法包（如 weavedb-sdk）的 tools/setup 目录中隐藏 976 KB Linux ELF 二进制，通过 package.json 的 preinstall 脚本在 npm install 时执行。该二进制采用 UPX 加壳（仅破坏魔数）、每条字符串独立加密。执行后，它会窃取 86 个环境变量和 20 余个凭证文件（含 AI 编码助手配置）；针对 Exodus 钱包注入 JS 钩子捕获密码和助记词；部署 eBPF 内核 rootkit（从残留调试信息还原出 214 行源码）隐藏进程和 TCP 连接，并对 ptrace 返回 SIGKILL；通过 Tor 建立 C2 通道回传数据。利用窃取的 GitHub 凭证，以作者名 claude 向受害者可访问的仓库推送伪造日期的恶意提交（最早回溯 13 年），注入两种载荷：第一种在 npm/PyPI/Cargo 等项目添加二进制并修改构建脚本；第二种是替换现有 GitHub Actions 工作流，窃取仓库所有 secrets 并作为构建产物上传（无需外部 C2）。在 CI 环境中，利用 npm Trusted Publishing 机制自动将木马化版本发布回 npm 注册表。攻击者还硬编码了自己的 BIP-39 恢复短语，导致其测试钱包地址暴露。

该攻击导致至少 9 个 GitHub 组织（含 asteroid-dao、ocrybit、weavedb）遭到恶意提交注入，共 57 个回溯日期的恶意 commit 被发现；数十个 npm 包被发布恶意版本；受感染开发者的所有云服务、AI 平台、加密货币钱包凭证被窃取；攻击具备自复制能力，可无限扩散。

Miasma 蠕虫再现身

Endor Labs 和 StepSecurity 公司发布报告称，Miasma 蠕虫新变种攻击利用 binding.gyp 文件（157 字节）在 npm install 时自动触发 node-gyp rebuild，从而绕过传统的 preinstall/postinstall 脚本监控，执行多层混淆的载荷，窃取云凭证并自我复制。

具体而言，攻击者在数十个 npm 包（如 ai-sdk-ollama）的发布 tarball 中添加两个文件：binding.gyp（157 字节）和 index.js（约 4.5 MB）。由于 npm 检测到 binding.gyp 会自动运行 node-gyp rebuild，而该文件利用 gyp 的命令替换语法执行 node index.js，无需任何安装脚本。index.js 采用多层混淆：首先是一个 ROT 凯撒密码解码器（不同版本使用不同移位值，如 3.8.5 用 15，2.2.1 用 18，以规避静态签名），解码后得到一个自解密 AES-128-GCM 阶段，解密出约 668KB 的主载荷。主载荷首先下载独立的 Bun 运行时（从 GitHub 官方发布页）而非使用 Node，以逃避仅监控 Node 的工具。然后执行四个阶段：① 环境检查——扫描 /proc 确认是否在 GitHub Actions 运行器中，若检测到 step-security/harden-runner 则直接退出；② 凭证窃取——从 AWS IMDS/ECS、Azure、GCP、Vault、Kubernetes service account、GitHub Actions OIDC、本地密码管理器（1Password、Bitwarden）以及运行器进程内存中提取被 GitHub 掩码的 secrets（通过 grep “isSecret”:true）；③ 数据回传——将窃取的数据 AES 加密，用内嵌 RSA 公钥包装密钥，然后通过强制推送分支提交到受害者自己 GitHub 账户下的新建仓库；备用 C2 通过搜索 GitHub 提交中的签名标记动态解析；④ 自我传播——同时通过三个渠道扩散：用窃取的 npm/RubyGems 令牌下载受害者原有包、注入载荷并重新发布；用窃取的 GitHub 令牌向仓库写入伪装成 Dependabot 的工作流，触发 OIDC 令牌获取并重启循环；向受害者仓库提交修改后的 .claude/settings.json、.gemini/settings.json 和 .vscode/tasks.json，使任何克隆或拉取该仓库的开发者通过 AI IDE 的 SessionStart 钩子或 VS Code 的 folderOpen 任务自动执行载荷。最后，攻击者利用窃取的 OIDC 令牌向 Fulcio 和 Rekor 申请 Sigstore 签名证书并写入透明日志，使被投毒的包显示有效的来源证明。

该攻击导致超过 57 个 npm 包（共 286 个恶意版本）被污染，包括月下载量超 12 万次的 ai-sdk-ollama；攻击者在 17 秒内向四个主要版本线同时发布恶意版本，使任何依赖范围都会拉取到投毒版本；CI/CD 环境中的云服务长期凭证、OIDC 令牌、Kubernetes secrets 被窃取；开发者机器通过 AI 编码助手的配置文件后门实现持久化；被投毒的包拥有伪造的 Sigstore 签名，增加了检测难度；红帽确认根本原因是 GitHub 账户被入侵，向 RedHatInsights 组织推送了未授权提交。

这两起最新的软件供应链攻击表明，此类攻击正演变为自复制、自适应的“活体”恶意软件，系统性绕过传统检测点（如利用 binding.gyp 避开生命周期脚本监控，或使用 eBPF rootkit 隐藏进程），并将 GitHub 等合法平台武器化为动态 C2 和传播载体。同时，攻击面已延伸至 AI 辅助开发工具（通过修改 AI IDE 配置文件实现持久化），攻击者还滥用 Sigstore 签名机制，使被投毒的包显示有效的来源证明。

开源卫士试用地址：https://sast.qianxin.com/#/login

代码卫士试用地址：https://codesafe.qianxin.com

推荐阅读

在线阅读版：《2025中国软件供应链安全分析报告》全文

最新软件供应链事件概览：Red Hat npm 包遭劫持；投毒 Claude Code；OpenAI Codex 认证令牌被盗

TrapDoor 供应链攻击通过 npm、PyPI 和 CratesIO 传播凭据窃取恶意软件

自动化供应链攻击6小时内攻陷5561个 GitHub 仓库

GitHub 被黑或因员工安装 Nx Console 恶意扩展引发，更多详情待调查

GitHub 内部仓库疑遭未授权访问，TeamPCP 据称正在出售 GitHub 内部源代码

奇安信Qcode Agents重磅升级，正式解锁操作系统级漏洞挖掘能力

Grafana 令牌被盗，GitHub 环境可遭访问且代码库被下载

TeamPCP再发动供应链攻击；数百个恶意包被上传，RubyGems 暂停新账号注册

Checkmarx 再遭攻击，Jenkins AST 插件受陷

Go 流行库 fsnotify 的维护人员访问权限变更，拉响供应链攻击警报

Gemini CLI 严重漏洞可触发 RCE 攻击和软件供应链风险

自传播供应链蠕虫劫持 npm 包，窃取开发人员令牌

Axios 严重漏洞可导致 RCE

Trivy供应链攻击触发CanisterWorm 在47个 npm 包中自传播

热门包管理器中存在多个漏洞，JavaScript 生态系统易受供应链攻击

开源自托管平台 Coolify 修复11个严重漏洞，可导致服务器遭完全攻陷

得不到就毁掉：第二轮Sha1-Hulud供应链攻击已发起，影响2.5万+仓库

vLLM 高危漏洞可导致RCE

开源AI框架 Ray 的0day已用于攻陷服务器和劫持资源

热门 React Native NPM 包中存在严重漏洞，开发人员易受攻击

10个npm包被指窃取 Windows、macOS 和 Linux 系统上的开发者凭据

热门 React Native NPM 包中存在严重漏洞，开发人员易受攻击

热门NPM库 “coa” 和“rc” 接连遭劫持，影响全球的 React 管道

开发人员注意：VSCode 应用市场易被滥用于托管恶意扩展

GitHub Copilot 严重漏洞可导致私有仓库源代码被盗

受 Salesforce 供应链攻击影响，全球汽车巨头 Stellantis 数据遭泄露

捷豹路虎数据遭泄露生产仍未恢复，幕后黑手或与 Salesforce-Salesloft 供应链攻击有关

十几家安全大厂信息遭泄露，谁是 Salesforce-Salesloft 供应链攻击的下一个受害者？

原文链接

https://thehackernews.com/2026/06/ironworm-and-new-miasma-worm-variant.html

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 “赞” 吧~

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：代码卫士 Ravie Lakshmanan Ravie Lakshmanan《IronWorm 和 Miasma 蠕虫新变体瞄准 npm，发动供应链攻击》