در برنامه بخوانید
ارائه توسط
Crypto News

۸۲۲ هزار دانلود در معرض خطر: نسخه‌های مخرب node-ipc مشاهده شده‌اند که در حال سرقت کلیدهای AWS و کلیدهای خصوصی هستند

سه نسخه مخرب از node-ipc، یک کتابخانه بنیادی Node.js که در سراسر پایپلاین‌های ساخت Web3 استفاده می‌شود، در ۱۴ مه به‌عنوان نسخه‌های آلوده تأیید شدند و شرکت امنیتی Slowmist هشدار داد توسعه‌دهندگان کریپتویی که به این پکیج متکی هستند با ریسک فوری سرقت اطلاعات ورود (credential) مواجه‌اند.

نویسنده
Shiraz JagatiShiraz Jagati
اشتراک
۸۲۲ هزار دانلود در معرض خطر: نسخه‌های مخرب node-ipc مشاهده شده‌اند که در حال سرقت کلیدهای AWS و کلیدهای خصوصی هستند

نکات کلیدی

  • Slowmist در ۱۴ مه سه نسخه مخرب از node-ipc را شناسایی کرد که بیش از ۸۲۲ هزار دانلود هفتگی npm را هدف می‌گیرد.
  • محموله ۸۰ کیلوبایتی بیش از ۹۰ دسته از اطلاعات ورود را می‌دزدد، از جمله کلیدهای AWS و فایل‌های .env از طریق تونل‌زنی DNS.
  • توسعه‌دهندگان باید فوراً به نسخه‌های پاک node-ipc پین کنند و همه رازهای بالقوه افشاشده را بچرخانند (rotate).

رازهای توسعه‌دهندگان در معرض خطر

شرکت امنیت بلاکچین Slowmist از طریق سامانه اطلاعات تهدید Misteye خود این حمله را علامت‌گذاری کرد و سه انتشار مخرب را شناسایی کرد؛ یعنی نسخه‌های 9.1.6، 9.2.3 و 12.0.1. پکیج node-ipc که برای فعال‌سازی ارتباط بین‌فرایندی (IPC) در محیط‌های Node.js به‌کار می‌رود، در سراسر پایپلاین‌های ساخت اپلیکیشن‌های غیرمتمرکز (dApp)، سامانه‌های CI/CD و ابزارهای توسعه‌دهندگان در کل اکوسیستم کریپتو تعبیه شده است.

Slowmist Flags Active Supply Chain Attack on Node-ipc, Crypto Devs Urged to Act Now
نسخه‌های مخرب به‌عنوان نسخه‌های 9.1.6، 9.2.3 و 12.0.1 شناسایی شدند.

این پکیج به‌طور میانگین بیش از ۸۲۲ هزار دانلود هفتگی دارد و همین موضوع سطح حمله را بسیار بزرگ می‌کند. هر یک از سه نسخه مخرب، یک محموله یکسان ۸۰ کیلوبایتیِ مبهم‌سازی‌شده دارد که به باندل CommonJS پکیج الحاق شده است. کد بدون هیچ شرطی در هر فراخوانی require(‘node-ipc’) اجرا می‌شود؛ یعنی هر پروژه‌ای که این انتشارهای آلوده را نصب کرده یا به آن‌ها به‌روزرسانی شده باشد، دزد اطلاعات را به‌صورت خودکار اجرا کرده است—بدون نیاز به هیچ تعامل کاربری.

بدافزار چه چیزهایی را می‌دزدد

محموله تعبیه‌شده بیش از ۹۰ دسته از اطلاعات ورودِ توسعه‌دهندگان و سرویس‌های ابری را هدف می‌گیرد؛ از جمله توکن‌های Amazon Web Services (AWS)، رازهای Google Cloud و Microsoft Azure، کلیدهای SSH، پیکربندی‌های Kubernetes، توکن‌های Github CLI و فایل‌های تاریخچه شِل. در ارتباط با فضای کریپتو، این بدافزار فایل‌های .env را هدف می‌گیرد که اغلب کلیدهای خصوصی، اطلاعات ورود نودهای RPC و رازهای API صرافی‌ها در آن‌ها ذخیره می‌شود. داده‌های سرقت‌شده از طریق تونل‌زنی DNS خارج‌سازی (exfiltrate) می‌شوند و فایل‌ها را از طریق کوئری‌های Domain Name System مسیردهی می‌کنند تا از ابزارهای استاندارد پایش شبکه فرار کنند.

پژوهشگران Stepsecurity تأیید کردند که مهاجم هرگز کدبیس اصلی node-ipc را دستکاری نکرده است. در عوض، آن‌ها با ثبت مجدد دامنه ایمیل منقضی‌شده، یک حساب کاربری نگه‌دارنده (maintainer) غیرفعال را سوءاستفاده کردند.

دامنه atlantis-software.net در ۱۰ ژانویه ۲۰۲۵ منقضی شد و مهاجم آن را در ۷ مه ۲۰۲۶ از طریق Namecheap دوباره ثبت کرد. سپس یک بازنشانی معمول رمز عبور npm را آغاز کردند و بدون اطلاع نگه‌دارنده اصلی، دسترسی کامل انتشار (publish) را به‌دست آوردند.

نسخه‌های مخرب حدود دو ساعت روی رجیستری فعال بودند تا شناسایی و حذف شدند. هر پروژه‌ای که در آن بازه npm install اجرا کرده یا وابستگی‌ها به‌صورت خودکار به‌روزرسانی شده‌اند، باید بالقوه آلوده تلقی شود. تیم‌های امنیتی توصیه کرده‌اند فوراً فایل‌های lock را برای نسخه‌های 9.1.6، 9.2.3 یا 12.0.1 از node-ipc ممیزی کنند و به آخرین انتشار پاکِ تأییدشده بازگردند.

حملات زنجیره تأمین در اکوسیستم npm در سال ۲۰۲۶ به یک تهدید پایدار تبدیل شده‌اند و پروژه‌های کریپتو به‌دلیل دسترسی مالی مستقیم که اطلاعات ورودشان می‌تواند فراهم کند، اهداف باارزش محسوب می‌شوند.

برچسب‌ها در این داستان
AmazonDecentralized applications (dApps)