822.000 download a rischio: individuate versioni dannose di node-ipc che rubano chiavi AWS e private

• chiave:</span></p>
• <ul>
• <li><span style="font-weight: 400;"> Il 14 maggio Slowmist ha segnalato tre versioni dannose di node-ipc, che hanno preso di mira oltre 822.000 download settimanali da npm.</span></li>
• <li><span style="font-weight: 400;"> Il payload da 80 KB ruba oltre 90 categorie di credenziali, incluse le chiavi AWS e i file .env tramite tunneling DNS.</span></li>
• <li><span style="font-weight: 400;"> Gli sviluppatori devono passare immediatamente a versioni pulite di node-ipc e aggiornare tutte le credenziali potenzialmente compromesse.</span></li>
• </ul>
• <p><span style="font-weight: 400;">

I segreti degli sviluppatori sono a rischio

L'azienda di sicurezza blockchain Slowmist ha segnalato l'attacco tramite il suo sistema di intelligence sulle minacce Misteye, identificando tre versioni non autorizzate, ovvero le versioni 9.1.6, 9.2.3 e 12.0.1. Il pacchetto node-ipc, utilizzato per abilitare la comunicazione interprocessuale (IPC) negli ambienti Node.js, è integrato nelle pipeline di build delle applicazioni decentralizzate (dApp), nei sistemi CI/CD e negli strumenti di sviluppo in tutto l'ecosistema delle criptovalute.

Il pacchetto registra in media oltre 822.000 download settimanali, rendendo la superficie di attacco considerevole. Ciascuna delle tre versioni dannose contiene un payload offuscato identico di 80 KB allegato al bundle CommonJS del pacchetto. Il codice si attiva incondizionatamente ad ogni chiamata require('node-ipc'), il che significa che qualsiasi progetto che abbia installato o aggiornato le versioni compromesse ha eseguito automaticamente lo stealer, senza che fosse necessaria alcuna interazione da parte dell'utente.

Cosa ruba il malware

Il payload incorporato prende di mira oltre 90 categorie di credenziali di sviluppatori e cloud, inclusi token di Amazon Web Services (AWS), segreti di Google Cloud e Microsoft Azure, chiavi SSH, configurazioni di Kubernetes, token CLI di Github e file di cronologia della shell. Per quanto riguarda il settore delle criptovalute, il malware prende di mira i file .env, che spesso memorizzano chiavi private, credenziali dei nodi RPC e segreti delle API di scambio. I dati rubati vengono esfiltrati tramite tunneling DNS, instradando i file attraverso query del Domain Name System per eludere i normali strumenti di monitoraggio della rete. I ricercatori di Stepsecurity hanno confermato che l'autore dell'attacco

non ha mai toccato il codice originale di node-ipc. Ha invece sfruttato un account di manutenzione inattivo, registrando nuovamente il suo dominio e-mail scaduto.

Il dominio atlantis-software.net è scaduto il 10 gennaio 2025, e l'autore dell'attacco lo ha registrato nuovamente tramite Namecheap il 7 maggio 2026. Ha quindi attivato una procedura standard di reimpostazione della password npm, ottenendo pieno accesso alla pubblicazione all'insaputa del manutentore originale.

Le versioni dannose sono rimaste attive nel registro per circa due ore prima di essere rilevate e rimosse. Qualsiasi progetto che abbia eseguito npm install o aggiornato automaticamente le dipendenze durante quel lasso di tempo dovrebbe essere considerato potenzialmente compromesso. I team di sicurezza hanno raccomandato di verificare immediatamente i file di blocco per le versioni 9.1.6, 9.2.3 o 12.0.1 di node-ipc e di ripristinare l'ultima versione pulita verificata.

Gli attacchi alla catena di approvvigionamento dell'ecosistema npm sono diventati una minaccia persistente nel 2026, con i progetti di criptovaluta che fungono da obiettivi di alto valore a causa dell'accesso finanziario diretto che le loro credenziali possono fornire.