Attacken auf verwaiste AUR-Pakete mit gefälschten Git-Metadaten liefern Spionage-Malware aus, die unter Root-Rechten ein unsichtbares Kernel-Rootkit installiert.
IronWorm nutzt ein Rust-basiertes eBPF-Rootkit, um Entwickler-Zugangsdaten (OpenAI-, Anthropic-APIs, AWS-Zertifikate, npm-Tokens, SSH-Schlüssel) zu stehlen und sich eigenständig über npm-Konten weiter zu verbreiten.