Május 14-én három rosszindulatú változatát azonosították a node-ipc-nek – egy alapvető Node.js-könyvtárnak, amelyet a Web3-fejlesztési folyamatokban széles körben használnak –, és a Slowmist biztonsági cég arra figyelmeztetett, hogy a csomagra támaszkodó kriptográfiai fejlesztőknek közvetlen veszélyt jelent a hitelesítő adatok ellopása.
822 ezer letöltés veszélyben: rosszindulatú node-ipc-verziókat észleltek, amelyek AWS- és privát kulcsokat lopnak el
ÍRTA
MEGOSZTÁS
Főbb tanulságok
A fejlesztők titkai veszélyben
A Slowmist blokklánc-biztonsági cég a Misteye fenyegetés-információs rendszerén keresztül jelzett a támadásról, és három rosszindulatú kiadást azonosított, nevezetesen a 9.1.6, 9.2.3 és 12.0.1 verziókat. A node-ipc csomag, amelyet a Node.js környezetekben a folyamatok közötti kommunikáció (IPC) lehetővé tételére használnak, beágyazva van a decentralizált alkalmazások (dApp) építési folyamatába, a CI/CD rendszerekbe és a fejlesztői eszközökbe a kriptográfiai ökoszisztéma egészében.
A csomagot hetente átlagosan több mint 822 000 alkalommal töltik le, ami jelentős támadási felületet jelent. A három rosszindulatú verzió mindegyike azonos, 80 KB-os, elrejtett hasznos terhelést tartalmaz, amelyet a csomag CommonJS-csomagjához csatoltak. A kód minden require('node-ipc') híváskor feltétel nélkül elindul, ami azt jelenti, hogy minden olyan projekt, amely a fertőzött kiadásokat telepítette vagy frissítette, automatikusan futtatta a lopóprogramot, anélkül, hogy a felhasználónak bármit is tennie kellett volna.
Mit lop el a kártevő
A beágyazott hasznos teher több mint 90 kategóriájú fejlesztői és felhőalapú hitelesítő adatot céloz meg, beleértve az Amazon Web Services (AWS) tokeneket, a Google Cloud és a Microsoft Azure titkait, az SSH-kulcsokat, a Kubernetes-konfigurációkat, a Github CLI-tokeneket és a shell-előzményfájlokat. A kriptográfiai területhez kapcsolódóan a kártevő a .env fájlokat célozza meg, amelyek gyakran tárolnak privát kulcsokat, RPC-csomópont hitelesítő adatokat és tőzsdei API-titkokat. Az ellopott adatokat DNS-alagutazáson keresztül szivárogtatják ki, a fájlokat a Domain Name System lekérdezésein keresztül irányítva, hogy elkerüljék a szokásos hálózati felügyeleti eszközöket.
A Stepsecurity kutatói megerősítették, hogy a támadósoha nem nyúlt a node-ipc eredeti kódbázisához. Ehelyett egy inaktív karbantartói fiókot használtak ki azáltal, hogy újra regisztrálták annak lejárt e-mail domainjét.
Az atlantis-software.net domain 2025. január 10-én járt le, a támadó pedig 2026. május 7-én regisztrálta újra a Namecheap segítségével. Ezután elindítottak egy szokásos npm jelszó-visszaállítást, így az eredeti karbantartó tudta nélkül teljes közzétételi hozzáférést szereztek.
A rosszindulatú verziók körülbelül két órán át maradtak a nyilvántartásban, mielőtt észlelték és eltávolították őket. Bármely projektet, amely ebben az időintervallumban futtatta az npm install parancsot vagy automatikusan frissítette a függőségeket, potenciálisan kompromittáltnak kell tekinteni. A biztonsági csapatok azt javasolták, hogy azonnal ellenőrizzék a lock fájlokat a node-ipc 9.1.6, 9.2.3 vagy 12.0.1 verziói esetében, és állítsák vissza a legutóbbi ellenőrzött, tiszta kiadásra.
Az npm ökoszisztémát érintő ellátási lánc-támadások 2026-ban állandó fenyegetéssé váltak, mivel a kriptoprojektek hitelesítő adataik révén közvetlen pénzügyi hozzáférést biztosítanak, ezért kiemelt célpontokká váltak.
