822 000 descargas en peligro: se han detectado versiones maliciosas de node-ipc que roban claves de AWS y claves privadas

• clave:</span></p>
• <ul>
• <li><span style="font-weight: 400;"> Slowmist detectó tres versiones maliciosas de node-ipc el 14 de mayo, que afectaban a más de 822 000 descargas semanales de npm.</span></li>
• <li><span style="font-weight: 400;"> La carga útil de 80 KB roba más de 90 categorías de credenciales, incluidas claves de AWS y archivos .env a través de túneles DNS.</span></li>
• <li><span style="font-weight: 400;"> Los desarrolladores deben fijar inmediatamente las versiones limpias de node-ipc y rotar todos los secretos potencialmente expuestos.</span></li>
• </ul>
• <p><span style="font-weight: 400;">

Los secretos de los desarrolladores en juego

La empresa de seguridad blockchain Slowmist detectó el ataque a través de su sistema de inteligencia de amenazas Misteye, identificando tres versiones maliciosas, concretamente las versiones 9.1.6, 9.2.3 y 12.0.1. El paquete node-ipc, utilizado para habilitar la comunicación entre procesos (IPC) en entornos Node.js, está integrado en los procesos de compilación de aplicaciones descentralizadas (dApp), los sistemas de CI/CD y las herramientas de desarrollo en todo el ecosistema criptográfico.

El paquete registra una media de más de 822 000 descargas semanales, lo que hace que la superficie de ataque sea considerable. Cada una de las tres versiones maliciosas contiene una carga útil ofuscada idéntica de 80 KB anexada al paquete CommonJS del paquete. El código se ejecuta incondicionalmente en cada llamada a require('node-ipc'), lo que significa que cualquier proyecto que instalara o actualizara a las versiones infectadas ejecutaba el ladrón automáticamente, sin necesidad de interacción por parte del usuario.

Qué roba el malware

La carga útil incrustada tiene como objetivo más de 90 categorías de credenciales de desarrolladores y de la nube, incluyendo tokens de Amazon Web Services (AWS), secretos de Google Cloud y Microsoft Azure, claves SSH, configuraciones de Kubernetes, tokens de la CLI de Github y archivos de historial de shell. En lo que respecta al ámbito de las criptomonedas, el malware se centra en los archivos .env, que suelen almacenar claves privadas, credenciales de nodos RPC y secretos de API de intercambio. Los datos robados se exfiltran mediante túneles DNS, enrutando los archivos a través de consultas al Sistema de Nombres de Dominio para evadir las herramientas estándar de monitorización de red. Los investigadores de Stepsecurity confirmaron que el atacante

nunca tocó el código base original de node-ipc. En su lugar, explotaron una cuenta de mantenedor inactiva al volver a registrar su dominio de correo electrónico caducado.

El dominio atlantis-software.net caducó el 10 de enero de 2025, y el atacante lo volvió a registrar a través de Namecheap el 7 de mayo de 2026. A continuación, activaron un restablecimiento de contraseña estándar de npm, obteniendo acceso completo de publicación sin el conocimiento del mantenedor original.

Las versiones maliciosas permanecieron activas en el registro durante aproximadamente dos horas antes de ser detectadas y eliminadas. Cualquier proyecto que ejecutara npm install o actualizara automáticamente las dependencias durante ese intervalo debe considerarse potencialmente comprometido. Los equipos de seguridad han recomendado auditar inmediatamente los archivos de bloqueo para las versiones 9.1.6, 9.2.3 o 12.0.1 de node-ipc y revertir a la última versión limpia verificada.

Los ataques a la cadena de suministro en el ecosistema npm se han convertido en una amenaza persistente en 2026, y los proyectos de criptomonedas son objetivos de gran valor debido al acceso financiero directo que pueden proporcionar sus credenciales.