144 npm-Pakete des Mastra-Frameworks wurden mit einem Infostealer infiziert, der beim Installieren Wallet- und Browserdaten klaut und bereits das hochfrequent genutzte Kernpaket betrifft.
IronWorm nutzt ein Rust-basiertes eBPF-Rootkit, um Entwickler-Zugangsdaten (OpenAI-, Anthropic-APIs, AWS-Zertifikate, npm-Tokens, SSH-Schlüssel) zu stehlen und sich eigenständig über npm-Konten weiter zu verbreiten.
Angreifer nutzten ein scheinbar legitimes npm-Paket mit 27.000 wöchentlichen Downloads, um Refresh-Token zu stehlen, die unbegrenzten Zugriff auf Konten ermöglichen.