ऐप में पढ़ें
द्वारा संचालित
Crypto News

822K डाउनलोड खतरे में: दुर्भावनापूर्ण node-ipc संस्करणों को AWS और निजी कुंजियाँ चुराते हुए देखा गया

वेब3 बिल्ड पाइपलाइनों में उपयोग की जाने वाली एक मूलभूत Node.js लाइब्रेरी, node-ipc के तीन दुर्भावनापूर्ण संस्करणों के 14 मई को समझौता किए जाने की पुष्टि हुई, जिसमें सुरक्षा फर्म Slowmist ने चेतावनी दी है कि इस पैकेज पर निर्भर क्रिप्टो डेवलपर्स को तुरंत क्रेडेंशियल चोरी का खतरा है।

लेखक
Shiraz JagatiShiraz Jagati
शेयर
822K डाउनलोड खतरे में: दुर्भावनापूर्ण node-ipc संस्करणों को AWS और निजी कुंजियाँ चुराते हुए देखा गया

मुख्य बातें

  • Slowmist ने 14 मई को तीन दुर्भावनापूर्ण node-ipc संस्करणों को चिह्नित किया, जो साप्ताहिक npm डाउनलोड के 822,000 से अधिक को लक्षित कर रहे थे।
  • 80KB का पेलोड DNS टनलिंग के माध्यम से AWS कुंजियों और .env फ़ाइलों सहित 90 से अधिक क्रेडेंशियल श्रेणियाँ चुराता है।
  • डेवलपर्स को तुरंत node-ipc के स्वच्छ संस्करणों को पिन करना चाहिए और सभी संभावित रूप से उजागर हुए सीक्रेट्स को रोटेट करना चाहिए।

डेवलपर की गोपनीयता दांव पर

ब्लॉकचेन सुरक्षा फर्म स्लोमिस्ट ने अपने मिस्टआई थ्रेट इंटेलिजेंस सिस्टम के माध्यम से इस हमले को चिह्नित किया, जिसमें तीन धोखाधड़ी वाले संस्करणों, यानी संस्करण 9.1.6, 9.2.3, और 12.0.1 की पहचान की गई। नोड-आईपीसी पैकेज, जिसका उपयोग Node.js वातावरण में इंटर-प्रोसेस कम्युनिकेशन (IPC) को सक्षम करने के लिए किया जाता है, क्रिप्टो इकोसिस्टम में विकेंद्रीकृत एप्लिकेशन (dApp) बिल्ड पाइपलाइनों, CI/CD सिस्टम और डेवलपर टूलिंग में हर जगह एम्बेडेड है।

Slowmist Flags Active Supply Chain Attack on Node-ipc, Crypto Devs Urged to Act Now
इन दुर्भावनापूर्ण रिलीज़ों की पहचान संस्करण 9.1.6, 9.2.3, और 12.0.1 के रूप में की गई थी।

इस पैकेज के औसतन 822,000 से अधिक साप्ताहिक डाउनलोड होते हैं, जिससे हमले का दायरा काफी बड़ा हो जाता है। तीनों दुर्भावनापूर्ण संस्करणों में पैकेज के CommonJS बंडल से जुड़ा एक समान 80 KB का अस्पष्ट (obfuscated) पेलोड होता है। यह कोड हर require('node-ipc') कॉल पर बिना किसी शर्त के सक्रिय हो जाता है, जिसका अर्थ है कि किसी भी प्रोजेक्ट ने यदि इन दूषित रिलीज़ को इंस्टॉल या अपडेट किया, तो वह स्टीलर अपने आप चल जाता था, जिसके लिए किसी भी उपयोगकर्ता की इंटरैक्शन की आवश्यकता नहीं होती थी।

मैलवेयर क्या चुराता है

एम्बेडेड पेलोड डेवलपर और क्लाउड क्रेडेंशियल की 90 से अधिक श्रेणियों को लक्षित करता है, जिसमें अमेज़ॅन वेब सर्विसेज़ (AWS) टोकन, गूगल क्लाउड और माइक्रोसॉफ्ट एज़्योर सीक्रेट्स, SSH कुंजियाँ, कुबेरनेट्स कॉन्फ़िगरेशन, गिटहब CLI टोकन, और शेल हिस्ट्री फाइलें शामिल हैं। क्रिप्टो स्पेस के संबंध में, मैलवेयर .env फाइलों को लक्षित करता है, जिनमें अक्सर प्राइवेट कीज़, RPC नोड क्रेडेंशियल, और एक्सचेंज API सीक्रेट्स संग्रहीत होते हैं। चोरी किए गए डेटा को DNS टनलिंग के माध्यम से बाहर भेजा जाता है, जिसमें मानक नेटवर्क निगरानी उपकरणों से बचने के लिए फ़ाइलों को डोमेन नेम सिस्टम क्वेरीज़ के माध्यम से भेजा जाता है।

Stepsecurity के शोधकर्ताओं ने पुष्टि की कि हमलावर ने

कभी भी node-ipc के मूल कोडबेस को नहीं छुआ। इसके बजाय, उन्होंने इसके समाप्त हो चुके ईमेल डोमेन को फिर से पंजीकृत करके एक निष्क्रिय मेंटेनर खाते का फायदा उठाया।

atlantis-software.net डोमेन 10 जनवरी, 2025 को समाप्त हो गया था, जिसे हमलावर ने 7 मई, 2026 को Namecheap के माध्यम से फिर से पंजीकृत किया। फिर उन्होंने एक मानक npm पासवर्ड रीसेट ट्रिगर किया, जिससे उन्हें मूल मेंटेनर की जानकारी के बिना पूर्ण पब्लिश एक्सेस प्राप्त हो गया।

खतरनाक संस्करणों का पता लगने और हटाए जाने से पहले वे लगभग दो घंटे तक रजिस्ट्री पर लाइव रहे। उस दौरान npm install चलाने या निर्भरताओं को स्वचालित रूप से अपडेट करने वाले किसी भी प्रोजेक्ट को संभावित रूप से समझौता हुआ हुआ माना जाना चाहिए। सुरक्षा टीमों ने node-ipc के संस्करण 9.1.6, 9.2.3, या 12.0.1 के लिए तुरंत लॉक फ़ाइलों का ऑडिट करने और अंतिम सत्यापित स्वच्छ रिलीज़ पर वापस जाने की सिफारिश की है।

2026 में npm इकोसिस्टम पर सप्लाई चेन हमले एक लगातार खतरा बन गए हैं, जिसमें क्रिप्टो प्रोजेक्ट उनके क्रेडेंशियल द्वारा प्रदान की जा सकने वाली सीधी वित्तीय पहुँच के कारण उच्च-मूल्य के लक्ष्य के रूप में काम कर रहे हैं।

इस कहानी में टैग
AmazonDecentralized applications (dApps)