822.000 Downloads in Gefahr: Bösartige Versionen von „node-ipc“ wurden entdeckt, die AWS- und private Schlüssel stehlen

• </span></p>
• <ul>
• <li><span style="font-weight: 400;"> Slowmist meldete am 14. Mai drei bösartige Versionen von node-ipc, die auf über 822.000 wöchentliche npm-Downloads abzielten.</span></li>
• <li><span style="font-weight: 400;"> Die 80 KB große Payload stiehlt über 90 Kategorien von Anmeldedaten, darunter AWS-Schlüssel und .env-Dateien, über DNS-Tunneling.</span></li>
• <li><span style="font-weight: 400;"> Entwickler müssen unverzüglich auf saubere node-ipc-Versionen umsteigen und alle potenziell gefährdeten Geheimnisse austauschen.</span></li>
• </ul>
• <p><span style="font-weight: 400;">

Entwicklergeheimnisse in Gefahr

Das Blockchain-Sicherheitsunternehmen Slowmist hat den Angriff über sein Misteye-Threat-Intelligence-System aufgedeckt und drei betrügerische Versionen identifiziert, nämlich die Versionen 9.1.6, 9.2.3 und 12.0.1. Das node-ipc-Paket, das zur Ermöglichung der Interprozesskommunikation (IPC) in Node.js-Umgebungen verwendet wird, ist in Build-Pipelines für dezentrale Anwendungen (dApps), CI/CD-Systemen und Entwicklertools im gesamten Krypto-Ökosystem eingebettet.

Das Paket verzeichnet durchschnittlich über 822.000 Downloads pro Woche, was die Angriffsfläche erheblich vergrößert. Jede der drei schädlichen Versionen enthält eine identische, verschleierte Nutzlast von 80 KB, die an das CommonJS-Bundle des Pakets angehängt ist. Der Code wird bei jedem Aufruf von require('node-ipc') bedingungslos ausgeführt, was bedeutet, dass jedes Projekt, das die kompromittierten Versionen installiert oder aktualisiert hat, den Stealer automatisch ausführte, ohne dass eine Benutzerinteraktion erforderlich war.

Was die Malware stiehlt

Die eingebettete Payload zielt auf über 90 Kategorien von Entwickler- und Cloud-Anmeldedaten ab, darunter Amazon Web Services (AWS)-Token, Google Cloud- und Microsoft Azure-Geheimnisse, SSH-Schlüssel, Kubernetes-Konfigurationen, Github-CLI-Token und Shell-Verlaufsdateien. Speziell im Kryptobereich zielt die Malware auf .env-Dateien ab, in denen häufig private Schlüssel, RPC-Node-Anmeldedaten und API-Geheimnisse von Börsen gespeichert sind. Gestohlene Daten werden über DNS-Tunneling exfiltriert, wobei Dateien über Domain Name System-Abfragen geleitet werden, um standardmäßige Netzwerküberwachungstools zu umgehen. Forscher bei Stepsecurity bestätigten, dass der Angreifer

den ursprünglichen Code von node-ipc nie verändert hat. Stattdessen nutzten sie ein inaktives Maintainer-Konto aus, indem sie dessen abgelaufene E-Mail-Domain neu registrierten.

Die Domain atlantis-software.net lief am 10. Januar 2025 ab, woraufhin der Angreifer sie am 7. Mai 2026 über Namecheap neu registrierte. Anschließend lösten sie eine standardmäßige npm-Passwortzurücksetzung aus und erlangten so ohne Wissen des ursprünglichen Betreuers vollständigen Veröffentlichungszugriff.

Die bösartigen Versionen blieben etwa zwei Stunden lang im Register aktiv, bevor sie entdeckt und entfernt wurden. Jedes Projekt, das während dieses Zeitfensters „npm install“ ausgeführt oder Abhängigkeiten automatisch aktualisiert hat, sollte als potenziell kompromittiert betrachtet werden. Sicherheitsteams haben empfohlen, die Lock-Dateien für die Versionen 9.1.6, 9.2.3 oder 12.0.1 von node-ipc unverzüglich zu überprüfen und auf die letzte verifizierte, saubere Version zurückzusetzen.

Angriffe auf die Lieferkette des npm-Ökosystems sind im Jahr 2026 zu einer anhaltenden Bedrohung geworden, wobei Krypto-Projekte aufgrund des direkten finanziellen Zugriffs, den ihre Anmeldedaten ermöglichen, als besonders lohnende Ziele gelten.