Tri zlonamjerne verzije node-ipc-a, temeljne Node.js biblioteke koja se koristi u cijelim Web3 build pipelineovima, potvrđeno su kompromitirane 14. svibnja, pri čemu je sigurnosna tvrtka Slowmist upozorila da kripto developeri koji se oslanjaju na paket imaju neposredan rizik od krađe vjerodajnica.
822 tisuće preuzimanja u opasnosti: uočene zlonamjerne verzije node-ipc koje kradu AWS ključeve i privatne ključeve
NAPISAO
PODIJELI
Ključne točke
Ugrožene su razvojne tajne
Tvrtka za blockchain sigurnost Slowmist označila je napad putem svog sustava za obavještajne podatke o prijetnjama Misteye, identificirajući tri lažna izdanja, i to verzije 9.1.6, 9.2.3 i 12.0.1. Paket node-ipc, koji se koristi za omogućavanje međuprocesne komunikacije (IPC) u Node.js okruženjima, ugrađen je u cijele build pipelineove decentraliziranih aplikacija (dApp), CI/CD sustave i razvojne alate diljem kripto ekosustava.
Paket u prosjeku bilježi više od 822.000 tjednih preuzimanja, što čini napadnu površinu značajnom. Svaka od tri zlonamjerne verzije nosi identičan obfusiran payload od 80 KB, dodan u CommonJS bundle paketa. Kod se pokreće bezuvjetno pri svakom pozivu require(‘node-ipc’), što znači da je svaki projekt koji je instalirao ili ažurirao na kontaminirana izdanja automatski pokrenuo kradljivca, bez potrebe za ikakvom interakcijom korisnika.
Što malware krade
Ugrađeni payload cilja više od 90 kategorija razvojnih i cloud vjerodajnica, uključujući tokene Amazon Web Services (AWS), tajne Google Clouda i Microsoft Azurea, SSH ključeve, Kubernetes konfiguracije, Github CLI tokene i datoteke povijesti ljuske. Relevantno za kripto prostor, malware cilja .env datoteke, koje često pohranjuju privatne ključeve, vjerodajnice RPC čvorova i tajne API-je burzi. Ukradeni podaci eksfiltriraju se putem DNS tuneliranja, usmjeravajući datoteke kroz upite sustavu naziva domena (DNS) kako bi se izbjegli standardni alati za nadzor mreže.
Istraživači u Stepsecurityju potvrdili su da napadač nije dirao originalni codebase node-ipc-a. Umjesto toga, iskoristili su neaktivni račun održavatelja ponovnom registracijom njegove istekle e-mail domene.
Domena atlantis-software.net istekla je 10. siječnja 2025., a napadač ju je ponovno registrirao putem Namecheapa 7. svibnja 2026. Zatim su pokrenuli standardno resetiranje lozinke na npm-u, stekavši puni pristup objavljivanju bez znanja izvornog održavatelja.
Zlonamjerne verzije ostale su aktivne u registru približno dva sata prije otkrivanja i uklanjanja. Svaki projekt koji je pokrenuo npm install ili automatski ažurirao ovisnosti tijekom tog vremenskog prozora treba smatrati potencijalno kompromitiranim. Sigurnosni timovi preporučili su odmah provjeriti lock datoteke za verzije 9.1.6, 9.2.3 ili 12.0.1 node-ipc-a te vratiti se na posljednje potvrđeno čisto izdanje.
Napadi na opskrbni lanac u npm ekosustavu postali su trajna prijetnja u 2026., pri čemu su kripto projekti visoko vrijedne mete zbog izravnog financijskog pristupa koji njihove vjerodajnice mogu omogućiti.
