Dne 14. května bylo potvrzeno, že došlo k napadení tří škodlivých verzí balíčku node-ipc, základní knihovny Node.js používané v rámci procesů sestavování aplikací Web3. Bezpečnostní firma Slowmist varovala, že vývojáři kryptoměn, kteří tento balíček využívají, čelí bezprostřednímu riziku odcizení přihlašovacích údajů.
Ohroženo 822 tisíc stažení: Byly odhaleny škodlivé verze node-ipc, které kradou klíče AWS a soukromé klíče
NAPSAL
SDÍLET
Hlavní body
Ohrožená tajemství vývojářů
Společnost Slowmist zabývající se bezpečností blockchainu upozornila na tento útok prostřednictvím svého systému Misteye pro sběr informací o hrozbách a identifikovala tři škodlivé verze, a to 9.1.6, 9.2.3 a 12.0.1. Balíček node-ipc, který se používá k umožnění meziprocesové komunikace (IPC) v prostředích Node.js, je zabudován do sestavovacích pipeline decentralizovaných aplikací (dApp), systémů CI/CD a vývojářských nástrojů v celém kryptoměnovém ekosystému.
Balíček má v průměru přes 822 000 stažení týdně, což činí útočnou plochu značnou. Každá ze tří škodlivých verzí nese identický 80 KB zamaskovaný payload připojený k balíčku CommonJS. Kód se spouští bezpodmínečně při každém volání require('node-ipc'), což znamená, že jakýkoli projekt, který nainstaloval nebo aktualizoval na infikované verze, spustil stealer automaticky, bez nutnosti interakce uživatele.
Co malware krade
Vložený payload cílí na více než 90 kategorií přihlašovacích údajů vývojářů a cloudových služeb, včetně tokenů Amazon Web Services (AWS), tajných klíčů Google Cloud a Microsoft Azure, SSH klíčů, konfigurací Kubernetes, tokenů Github CLI a souborů historie shellu. V souvislosti s kryptoměnovým prostorem se malware zaměřuje na soubory .env, které často ukládají soukromé klíče, přihlašovací údaje k uzlům RPC a tajné klíče API burz. Ukradená data jsou exfiltrována prostřednictvím DNS tunelování, přičemž soubory jsou směrovány přes dotazy systému doménových jmen (DNS), aby se vyhnuly standardním nástrojům pro monitorování sítě.
Výzkumníci ze společnosti Stepsecurity potvrdili, že útočníkse nikdy nedotkl původního kódového základu node-ipc. Místo toho zneužili neaktivní účet správce tím, že znovu zaregistrovali jeho vypršenou e-mailovou doménu.
Doména atlantis-software.net vypršela 10. ledna 2025 a útočník ji znovu zaregistroval přes Namecheap 7. května 2026. Poté spustili standardní reset hesla npm a získali plný přístup k publikování bez vědomí původního správce.
Škodlivé verze zůstaly v registru aktivní přibližně dvě hodiny, než byly odhaleny a odstraněny. Jakýkoli projekt, který během tohoto časového okna spustil npm install nebo automaticky aktualizoval závislosti, by měl být považován za potenciálně ohrožený. Bezpečnostní týmy doporučují okamžitě provést audit zamykacích souborů pro verze 9.1.6, 9.2.3 nebo 12.0.1 node-ipc a vrátit se k poslední ověřené čisté verzi.
Útoky na dodavatelský řetězec v ekosystému npm se v roce 2026 staly trvalou hrozbou, přičemž kryptoměnové projekty slouží jako vysoce hodnotné cíle kvůli přímému finančnímu přístupu, který mohou jejich přihlašovací údaje poskytnout.
