822 000 téléchargements compromis : des versions malveillantes de node-ipc repérées en train de voler des clés AWS et des clés privées

• clés :</span></p>
• <ul>
• <li><span style="font-weight: 400;"> Slowmist a signalé le 14 mai trois versions malveillantes de node-ipc, ciblant plus de 822 000 téléchargements hebdomadaires sur npm.</span></li>
• <li><span style="font-weight: 400;"> La charge utile de 80 Ko vole plus de 90 catégories d'identifiants, y compris des clés AWS et des fichiers .env via un tunnel DNS.</span></li>
• <li><span style="font-weight: 400;"> Les développeurs doivent immédiatement passer à des versions propres de node-ipc et renouveler tous les secrets potentiellement exposés.</span></li>
• </ul>
• <p><span style="font-weight: 400;">

Les secrets des développeurs en jeu

La société de sécurité blockchain Slowmist a signalé l'attaque via son système de renseignements sur les menaces Misteye, identifiant trois versions malveillantes, à savoir les versions 9.1.6, 9.2.3 et 12.0.1. Le paquet node-ipc, utilisé pour permettre la communication interprocessus (IPC) dans les environnements Node.js, est intégré dans les pipelines de construction d'applications décentralisées (dApp), les systèmes CI/CD et les outils de développement à travers l'écosystème crypto.

Le paquet enregistre en moyenne plus de 822 000 téléchargements hebdomadaires, ce qui rend la surface d'attaque considérable. Chacune des trois versions malveillantes contient une charge utile obfusquée identique de 80 Ko, ajoutée au bundle CommonJS du paquet. Le code s'exécute sans condition à chaque appel require('node-ipc'), ce qui signifie que tout projet ayant installé ou mis à jour les versions corrompues a exécuté le voleur de données automatiquement, sans aucune interaction de l'utilisateur.

Ce que le logiciel malveillant vole

La charge utile intégrée cible plus de 90 catégories d'identifiants de développeurs et de cloud, notamment les jetons Amazon Web Services (AWS), les secrets Google Cloud et Microsoft Azure, les clés SSH, les configurations Kubernetes, les jetons CLI Github et les fichiers d'historique de shell. Dans le domaine de la cryptographie, le logiciel malveillant cible les fichiers .env, qui stockent fréquemment des clés privées, des identifiants de nœuds RPC et des secrets d'API d'échange. Les données volées sont exfiltrées via un tunnel DNS, en acheminant les fichiers par le biais de requêtes au système de noms de domaine (DNS) afin de contourner les outils de surveillance réseau standard. Les chercheurs de Stepsecurity ont confirmé que l'attaquant

n'avait jamais touché au code source original de node-ipc. Au lieu de cela, il a exploité un compte de mainteneur inactif en réenregistrant son domaine de messagerie expiré.

Le domaine atlantis-software.net a expiré le 10 janvier 2025, et l'attaquant l'a réenregistré via Namecheap le 7 mai 2026. Il a ensuite déclenché une réinitialisation standard du mot de passe npm, obtenant ainsi un accès complet en mode publication à l'insu du mainteneur d'origine.

Les versions malveillantes sont restées en ligne sur le registre pendant environ deux heures avant d'être détectées et supprimées. Tout projet ayant exécuté npm install ou mis à jour automatiquement ses dépendances pendant cette période doit être considéré comme potentiellement compromis. Les équipes de sécurité ont recommandé de vérifier immédiatement les fichiers de verrouillage pour les versions 9.1.6, 9.2.3 ou 12.0.1 de node-ipc et de revenir à la dernière version vérifiée et saine.

Les attaques de la chaîne d'approvisionnement visant l'écosystème npm sont devenues une menace persistante en 2026, les projets cryptographiques constituant des cibles de grande valeur en raison de l'accès financier direct que leurs identifiants peuvent offrir.