Tiga versi berbahaya dari node-ipc, sebuah pustaka Node.js dasar yang digunakan di seluruh alur kerja pengembangan Web3, telah dikonfirmasi disusupi pada 14 Mei, dengan perusahaan keamanan Slowmist memperingatkan bahwa pengembang kripto yang mengandalkan paket tersebut berisiko mengalami pencurian kredensial secara langsung.
822.000 Unduhan Terancam: Versi node-ipc Berbahaya Terdeteksi Mencuri Kunci AWS dan Kunci Pribadi
DITULIS OLEH
BAGIKAN
Poin Utama
Rahasia Pengembang Terancam
Perusahaan keamanan blockchain Slowmist mengidentifikasi serangan ini melalui sistem intelijen ancaman Misteye-nya, mengidentifikasi tiga rilis berbahaya, yaitu versi 9.1.6, 9.2.3, dan 12.0.1. Paket node-ipc, yang digunakan untuk mengaktifkan komunikasi antarproses (IPC) di lingkungan Node.js, tertanam di seluruh jalur pembangunan aplikasi terdesentralisasi (dApp), sistem CI/CD, dan perkakas pengembang di seluruh ekosistem kripto.
Paket ini rata-rata diunduh lebih dari 822.000 kali setiap minggu, sehingga permukaan serangan menjadi sangat luas. Masing-masing dari ketiga versi berbahaya tersebut membawa muatan tersembunyi (payload) berukuran 80 KB yang ditambahkan ke bundel CommonJS paket tersebut. Kode tersebut dijalankan tanpa syarat pada setiap panggilan require('node-ipc'), artinya setiap proyek yang menginstal atau memperbarui ke rilis yang terinfeksi akan menjalankan pencuri data secara otomatis, tanpa memerlukan interaksi pengguna.
Apa yang Dicuri oleh Malware
Payload yang tertanam menargetkan lebih dari 90 kategori kredensial pengembang dan cloud, termasuk token Amazon Web Services (AWS), rahasia Google Cloud dan Microsoft Azure, kunci SSH, konfigurasi Kubernetes, token CLI GitHub, dan file riwayat shell. Khusus untuk ruang kripto, malware ini menargetkan file .env, yang sering menyimpan kunci pribadi, kredensial node RPC, dan rahasia API bursa. Data yang dicuri dieksfiltrasi melalui tunneling DNS, dengan mengalihkan berkas melalui kueri Sistem Nama Domain (DNS) untuk menghindari alat pemantauan jaringan standar.
Peneliti di Stepsecurity mengonfirmasi bahwa penyerangtidak pernah menyentuh basis kode asli node-ipc. Sebaliknya, mereka memanipulasi akun pemelihara yang tidak aktif dengan mendaftarkan ulang domain email yang telah kadaluwarsa.
Domain atlantis-software.net kedaluwarsa pada 10 Januari 2025, dan penyerang mendaftarkannya kembali melalui Namecheap pada 7 Mei 2026. Mereka kemudian memicu proses reset kata sandi npm standar, sehingga memperoleh akses publikasi penuh tanpa sepengetahuan pengelola asli.
Versi-versi berbahaya tersebut tetap aktif di registri selama sekitar dua jam sebelum terdeteksi dan dihapus. Setiap proyek yang menjalankan perintah `npm install` atau memperbarui dependensi secara otomatis selama periode tersebut harus dianggap berpotensi terkompromi. Tim keamanan merekomendasikan untuk segera memeriksa berkas kunci (lock files) untuk versi 9.1.6, 9.2.3, atau 12.0.1 dari node-ipc dan melakukan rollback ke rilis bersih terakhir yang terverifikasi.
Serangan rantai pasokan pada ekosistem npm telah menjadi ancaman yang terus-menerus pada tahun 2026, dengan proyek-proyek kripto menjadi sasaran bernilai tinggi karena akses finansial langsung yang dapat diberikan oleh kredensial mereka.
