14. mail tuvastati kolm pahatahtlikku versiooni node-ipc-st, mis on Web3-i arendusprotsessides laialdaselt kasutatav Node.js-i põhiline raamatukogu. Turvafirma Slowmist hoiatas, et selle paketi kasutavad krüptovaluuta arendajad seisavad silmitsi vahetu paroolide varguse ohuga.
822 000 allalaadimist ohus: avastati pahatahtlikud „node-ipc“ versioonid, mis varastavad AWS-i ja privaatvõtmeid
KIRJUTAS
JAGA
Peamised järeldused
Arendajate salajased andmed ohus
Blockchaini turvalisusega tegelev ettevõte Slowmist märkas rünnakut oma Misteye ohuteabe süsteemi kaudu, tuvastades kolm pahatahtlikku versiooni, nimelt versioonid 9.1.6, 9.2.3 ja 12.0.1. Node.js-keskkonnas protsessidevahelise suhtluse (IPC) võimaldamiseks kasutatav node-ipc-pakett on integreeritud detsentraliseeritud rakenduste (dApp) ehitamise torujuhtmetesse, CI/CD-süsteemidesse ja arendajate tööriistadesse kogu krüptosüsteemi ökosüsteemis.
Pakett kogub nädalas keskmiselt üle 822 000 allalaadimise, mis muudab rünnakupinna märkimisväärseks. Kõik kolm pahatahtlikku versiooni sisaldavad identseid 80 KB suuruseid varjatud koormusi, mis on lisatud paketi CommonJS-kogumile. Kood käivitub tingimusteta iga require('node-ipc') kutsumise korral, mis tähendab, et iga projekt, mis installis või uuendas nakatatud versioone, käivitas varastaja automaatselt, ilma et kasutaja sekkumist oleks vaja olnud.
Mida pahavara varastab
Sisseehitatud koormus on suunatud üle 90 kategooria arendaja- ja pilveautentimisandmetele, sealhulgas Amazon Web Services (AWS) tokenid, Google Cloudi ja Microsoft Azure'i salajased andmed, SSH-võtmed, Kubernetesi konfiguratsioonid, Github CLI tokenid ja shelli ajaloo failid. Krüptovaldkonnaga seotud pahavara sihib .env-faile, milles sageli hoitakse privaatvõtmeid, RPC-sõlme autentimisandmeid ja vahetus-API salajasi andmeid. Varastatud andmed viiakse välja DNS-tunnelimise kaudu, suunates faile domeeninimede süsteemi päringute kaudu, et vältida tavalisi võrgujälgimistööriistu.
Stepsecurity teadlased kinnitasid, et ründajaei puudutanud kunagi node-ipc algset koodibaasi. Selle asemel kasutasid nad ära passiivset hooldaja kontot, registreerides selle aegunud e-posti domeeni uuesti.
Domeen atlantis-software.net aegus 10. jaanuaril 2025, kuid ründaja registreeris selle uuesti Namecheapi kaudu 7. mail 2026. Seejärel käivitasid nad tavalise npm-i parooli taastamise, saades täieliku avaldamisõiguse ilma algse hooldaja teadmata.
Pahatahtlikud versioonid jäid registrisse ligikaudu kaks tundi, enne kui need avastati ja eemaldati. Iga projekti, mis selle aja jooksul käivitas npm install või uuendas sõltuvusi automaatselt, tuleks käsitleda potentsiaalselt ohustatuna. Turvameeskonnad on soovitanud viivitamatult auditeerida lock-faile versioonide 9.1.6, 9.2.3 või 12.0.1 puhul ning taastada viimane kinnitatud puhas versioon.
Tarneahela rünnakud npm-ökosüsteemile on 2026. aastal muutunud püsivaks ohuks, kusjuures krüptoprojektid on kõrge väärtusega sihtmärgid, kuna nende autentimisandmed võimaldavad otsest juurdepääsu rahalistele vahenditele.
