Tre ondsindede versioner af node-ipc, et grundlæggende Node.js-bibliotek, der anvendes i Web3-udviklingspipelines, blev den 14. maj bekræftet som kompromitterede, og sikkerhedsfirmaet Slowmist advarede om, at kryptoudviklere, der benytter pakken, står over for en umiddelbar risiko for tyveri af loginoplysninger.
822.000 downloads i fare: Ondsindede versioner af node-ipc er blevet opdaget i at stjæle AWS-nøgler og private nøgler
SKREVET AF
DEL
Hovedpunkter
Udviklerhemmeligheder på spil
Blockchain-sikkerhedsfirmaet Slowmist flagede angrebet via sit Misteye-trusselsinformationssystem og identificerede tre ondsindede udgivelser, nemlig versionerne 9.1.6, 9.2.3 og 12.0.1. Node-ipc-pakken, der bruges til at muliggøre inter-process-kommunikation (IPC) i Node.js-miljøer, er integreret på tværs af decentraliserede applikations (dApp) build-pipelines, CI/CD-systemer og udviklerværktøjer i hele kryptoøkosystemet.
Pakken har i gennemsnit over 822.000 ugentlige downloads, hvilket gør angrebsfladen betydelig. Hver af de tre ondsindede versioner indeholder en identisk 80 KB obfuscated payload, der er vedhæftet pakkens CommonJS-bundle. Koden udløses ubetinget ved hvert require('node-ipc')-kald, hvilket betyder, at ethvert projekt, der installerede eller opdaterede til de inficerede udgivelser, kørte stjæleren automatisk uden behov for brugerinteraktion.
Hvad malware stjæler
Den indlejrede payload er rettet mod over 90 kategorier af udvikler- og cloud-legitimationsoplysninger, herunder Amazon Web Services (AWS)-tokens, Google Cloud- og Microsoft Azure-hemmeligheder, SSH-nøgler, Kubernetes-konfigurationer, Github CLI-tokens og shell-historikfiler. Med relevans for kryptomiljøet er malware rettet mod .env-filer, som ofte gemmer private nøgler, RPC-node-legitimationsoplysninger og udvekslings-API-hemmeligheder. Stjålne data eksfiltreres via DNS-tunneling, hvor filer dirigeres gennem Domain Name System-forespørgsler for at undgå standardværktøjer til netværksovervågning.
Forskere hos Stepsecurity bekræftede, at angriberenaldrig rørte node-ipc's oprindelige kodebase. I stedet udnyttede de en inaktiv vedligeholderkonto ved at genregistrere dens udløbne e-mail-domæne.
Domænet atlantis-software.net udløb den 10. januar 2025, og angriberen genregistrerede det via Namecheap den 7. maj 2026. Derefter udløste de en standard npm-adgangskode-nulstilling og fik dermed fuld adgang til at offentliggøre uden den oprindelige vedligeholderens viden.
De ondsindede versioner forblev aktive i registret i cirka to timer, før de blev opdaget og fjernet. Ethvert projekt, der kørte npm install eller automatisk opdaterede afhængigheder i dette tidsrum, bør betragtes som potentielt kompromitteret. Sikkerhedsteams har anbefalet, at man straks gennemgår låsefiler for version 9.1.6, 9.2.3 eller 12.0.1 af node-ipc og ruller tilbage til den sidste verificerede, rene udgivelse.
Supply chain-angreb på npm-økosystemet er blevet en vedvarende trussel i 2026, hvor kryptoprojekter udgør højværdimål på grund af den direkte økonomiske adgang, deres legitimationsoplysninger kan give.
