Web3-kehitysputkistoissa laajasti käytetyn Node.js-peruskirjaston node-ipc:n kolme haitallista versiota todettiin vaarantuneiksi 14. toukokuuta. Tietoturvayritys Slowmist varoitti, että pakettia käyttävät kryptovaluutan kehittäjät ovat välittömässä vaarassa joutua tunnistetietojen varkauden uhriksi.
822 000 latausta vaarassa: havaittu haitallisia node-ipc-versioita, jotka varastavat AWS- ja yksityisiä avaimia
KIRJOITTAJA
JAA
Tärkeimmät kohdat
Kehittäjien salaisuudet vaarassa
Blockchain-turvallisuusyritys Slowmist ilmoitti hyökkäyksestä Misteye-uhkatiedustelujärjestelmänsä kautta ja tunnisti kolme haitallista julkaisua, nimittäin versiot 9.1.6, 9.2.3 ja 12.0.1. Node.js-ympäristöissä prosessien väliseen viestintään (IPC) käytettävä node-ipc-paketti on integroitu hajautettujen sovellusten (dApp) rakennusputkiin, CI/CD-järjestelmiin ja kehittäjätyökaluihin koko kryptoekosysteemissä.
Pakettia ladataan keskimäärin yli 822 000 kertaa viikossa, mikä tekee hyökkäyspinnasta huomattavan. Jokaisessa kolmesta haitallisesta versiosta on identtinen 80 kt:n kokoinen salattu hyötykuorma, joka on liitetty paketin CommonJS-nippuun. Koodi laukeaa ehdoitta jokaisella require('node-ipc')-kutsulla, mikä tarkoittaa, että kaikki projektit, joihin saastuneet versiot oli asennettu tai päivitetty, suorittivat varkaan automaattisesti ilman käyttäjän toimia.
Mitä haittaohjelma varastaa
Upotettu hyötykuorma kohdistuu yli 90 luokkaan kehittäjä- ja pilvipalveluiden tunnistetietoja, mukaan lukien Amazon Web Services (AWS) -tunnukset, Google Cloud- ja Microsoft Azure -salaisuudet, SSH-avaimet, Kubernetes-määritykset, Github CLI -tunnukset ja shell-historiatiedostot. Kryptovaluutta-alalle tyypillisesti haittaohjelma kohdistuu .env-tiedostoihin, joihin tallennetaan usein yksityisiä avaimia, RPC-solmujen tunnistetietoja ja pörssien API-salaisuuksia. Varastetut tiedot viedään pois DNS-tunneloinnin kautta, reitittämällä tiedostot Domain Name System -kyselyjen kautta tavallisten verkonvalvontatyökalujen kiertämiseksi.
Stepsecurityn tutkijat vahvistivat, että hyökkääjäei koskenut node-ipc:n alkuperäiseen koodipohjaan. Sen sijaan he hyödynsivät käyttämättömää ylläpitäjätiliä rekisteröimällä sen vanhentuneen sähköpostidomainin uudelleen.
Verkkotunnus atlantis-software.net vanheni 10. tammikuuta 2025, ja hyökkääjä rekisteröi sen uudelleen Namecheapin kautta 7. toukokuuta 2026. Sitten he käynnistivät tavallisen npm-salasanan nollauksen ja saivat täyden julkaisuoikeuden alkuperäisen ylläpitäjän tietämättä.
Haitalliset versiot pysyivät rekisterissä noin kaksi tuntia ennen niiden havaitsemista ja poistamista. Kaikkia projekteja, joissa suoritettiin npm install tai riippuvuuksien automaattinen päivitys kyseisenä aikana, tulisi pitää mahdollisesti vaarantuneina. Tietoturvatiimit ovat suositelleet, että node-ipc:n versiot 9.1.6, 9.2.3 tai 12.0.1 tarkistetaan välittömästi ja palataan viimeisimpään vahvistettuun puhtaaseen versioon.
Npm-ekosysteemiin kohdistuvat toimitusketjuhyökkäykset ovat muodostuneet pysyväksi uhaksi vuonna 2026, ja kryptoprojektit ovat arvokkaita kohteita, koska niiden tunnistetiedot tarjoavat suoran pääsyn varoihin.
