קראו באפליקציה
מופעל ע"י
Crypto News

822 אלף הורדות בסיכון: זוהו גרסאות זדוניות של node-ipc גונבות מפתחות AWS ומפתחות פרטיים

שלוש גרסאות זדוניות של node-ipc, ספריית Node.js בסיסית המשמשת ברחבי צינורות בנייה של Web3, אושרו כפרוצות ב-14 במאי, כאשר חברת האבטחה Slowmist הזהירה שמפתחי קריפטו הנשענים על החבילה ניצבים בפני סיכון מיידי לגניבת אישורים.

נכתב ע"י
Shiraz JagatiShiraz Jagati
שתף
822 אלף הורדות בסיכון: זוהו גרסאות זדוניות של node-ipc גונבות מפתחות AWS ומפתחות פרטיים

נקודות עיקריות

  • Slowmist סימנה שלוש גרסאות זדוניות של node-ipc ב-14 במאי, תוך מיקוד ביותר מ-822,000 הורדות שבועיות ב-npm.
  • המטען בנפח 80KB גונב יותר מ-90 קטגוריות של אישורים, כולל מפתחות AWS וקבצי ‎.env‎ באמצעות מנהור DNS.
  • מפתחים חייבים מיד להצמיד לגרסאות נקיות של node-ipc ולסובב/להחליף את כל הסודות שעלולים היו להיחשף.

סודות המפתחים בסכנה

חברת אבטחת הבלוקצ’יין Slowmist סימנה את המתקפה באמצעות מערכת מודיעין האיומים שלה Misteye, וזיהתה שלוש גרסאות סוררות, כלומר גרסאות 9.1.6, 9.2.3 ו-12.0.1. החבילה node-ipc, המשמשת לאפשר תקשורת בין-תהליכית (IPC) בסביבות Node.js, משובצת ברחבי צינורות הבנייה של יישומים מבוזרים (dApp), מערכות CI/CD וכלי עבודה למפתחים ברחבי אקוסיסטם הקריפטו.

Slowmist Flags Active Supply Chain Attack on Node-ipc, Crypto Devs Urged to Act Now
הגרסאות הזדוניות זוהו כגרסאות 9.1.6, 9.2.3 ו-12.0.1.

החבילה עומדת בממוצע על יותר מ-822,000 הורדות שבועיות, מה שהופך את משטח התקיפה למשמעותי. כל אחת משלוש הגרסאות הזדוניות נושאת מטען זהה ומעורפל (obfuscated) בנפח 80KB שהוסף בסוף חבילת ה-CommonJS של החבילה. הקוד מופעל ללא תנאי בכל קריאה ל-require(‘node-ipc’), כלומר כל פרויקט שהתקין או עודכן לגרסאות המזוהמות הפעיל את הגונב באופן אוטומטי, ללא צורך באינטראקציה של משתמש.

מה הנוזקה גונבת

המטען המוטמע מכוון ליותר מ-90 קטגוריות של אישורי מפתחים ואישורי ענן, כולל אסימוני Amazon Web Services (AWS), סודות של Google Cloud ו-Microsoft Azure, מפתחות SSH, תצורות Kubernetes, אסימוני Github CLI וקובצי היסטוריית מעטפת. רלוונטי במיוחד לעולם הקריפטו, הנוזקה מכוונת לקובצי ‎.env‎, שבדרך כלל מאחסנים מפתחות פרטיים, אישורי צמתי RPC וסודות API של בורסות. הנתונים הגנובים מוצאים החוצה באמצעות מנהור DNS, תוך ניתוב קבצים דרך שאילתות של Domain Name System כדי לחמוק מכלי ניטור רשת סטנדרטיים.

חוקרים ב-Stepsecurity אישרו שהתוקף מעולם לא נגע בקוד המקור המקורי של node-ipc. במקום זאת, הם ניצלו חשבון של מתחזק שהיה רדום באמצעות רישום מחדש של דומיין האימייל שפג תוקפו.

הדומיין atlantis-software.net פג תוקף ב-10 בינואר 2025, כאשר התוקף רשם אותו מחדש דרך Namecheap ב-7 במאי 2026. לאחר מכן הם הפעילו איפוס סיסמה סטנדרטי של npm, והשיגו גישת פרסום מלאה ללא ידיעת המתחזק המקורי.

הגרסאות הזדוניות נשארו פעילות ברישום למשך כשעתיים לפני זיהוי והסרה. כל פרויקט שהריץ npm install או עדכן אוטומטית תלותים במהלך החלון הזה צריך להיחשב ככזה שעלול להיות שנפרץ. צוותי אבטחה המליצו לבצע מיד ביקורת בקובצי lock עבור גרסאות 9.1.6, 9.2.3 או 12.0.1 של node-ipc ולחזור לגרסה האחרונה שאושרה כנקייה.

מתקפות שרשרת אספקה על אקוסיסטם ה-npm הפכו לאיום מתמשך בשנת 2026, כאשר פרויקטי קריפטו משמשים מטרות בעלות ערך גבוה בשל הגישה הפיננסית הישירה שאישורי הגישה שלהם יכולים לספק.

תגיות בכתבה זו
AmazonDecentralized applications (dApps)