822,000件のダウンロードが危険にさらされています：AWSキーや秘密鍵を盗み出す悪意のあるnode-ipcのバージョンが確認されました

• ：</span></p>
• <ul>
• <li><span style="font-weight: 400;"> Slowmistは5月14日、週82万2,000件以上のnpmダウンロードを対象とした3つの悪意のあるnode-ipcバージョンを特定しました。</span></li>
• <li><span style="font-weight: 400;"> 80KBのペイロードはDNSトンネリングを介してAWSキーや.envファイルを含む90種類以上の認証情報を盗み出します。</span></li>
• <li><span style="font-weight: 400;"> 開発者は直ちにクリーンなnode-ipcバージョンにピン留めし、漏洩の恐れがあるすべてのシークレットを更新する必要があります。</span></li>
• </ul>
• <p><span style="font-weight: 400;">

開発者のシークレットが危機にさらされている

ブロックチェーンセキュリティ企業のSlowmistは、同社の脅威インテリジェンスシステム「Misteye」を通じてこの攻撃を検知し、バージョン9.1.6、9.2.3、12.0.1の三つの不正なリリースを特定しました。 Node.js環境でのプロセス間通信（IPC）を可能にするnode-ipcパッケージは、暗号資産エコシステム全体で分散型アプリケーション（dApp）のビルドパイプライン、CI/CDシステム、開発者ツールに組み込まれています。

このパッケージの週間平均ダウンロード数は82万2,000回を超えており、攻撃対象領域は極めて広範です。3つの悪意のあるバージョンにはそれぞれ、パッケージのCommonJSバンドルに追加された80KBの難読化されたペイロードが同一の形で含まれています。このコードは、require('node-ipc')が呼び出されるたびに無条件に実行されます。つまり、汚染されたリリースをインストールまたは更新したプロジェクトでは、ユーザーの操作を必要とせずに、この情報窃取型マルウェアが自動的に実行されてしまいます。

マルウェアが盗むもの

埋め込まれたペイロードは、Amazon Web Services（AWS）トークン、Google CloudおよびMicrosoft Azureのシークレット、SSHキー、Kubernetes設定、GitHub CLIトークン、シェル履歴ファイルなど、90種類以上の開発者およびクラウド認証情報を標的としています。特に暗号資産分野に関連して、このマルウェアは、秘密鍵、RPCノードの認証情報、取引所APIのシークレットが頻繁に保存される.envファイルを標的としています。 盗まれたデータはDNSトンネリングによって外部へ流出します。これはドメインネームシステム（DNS）クエリを通じてファイルをルーティングし、標準的なネットワーク監視ツールを回避する手法です。Stepsecurityの研究者は、攻撃者が

node-ipcの元のコードベースには一切手を加えていないことを確認しました。その代わりに、期限切れとなったメールドメインを再登録することで休眠状態のメンテナアカウントを悪用していました。

ドメイン「atlantis-software.net」は2025年1月10日に期限切れとなり、攻撃者は2026年5月7日にNamecheapを通じてこれを再登録しました。その後、標準的なnpmパスワードリセットをトリガーし、元のメンテナーの知らぬ間に完全な公開権限を取得しました。

悪意のあるバージョンは検出・削除されるまでの約2時間、レジストリ上に公開されたままでした。この期間中に`npm install`を実行したり依存関係を自動更新したりしたプロジェクトは、すべて侵害された可能性があるとして扱うべきです。セキュリティチームは、node-ipcのバージョン9.1.6、9.2.3、または12.0.1について直ちにロックファイルを監査し、最後に検証済みのクリーンなリリースにロールバックすることを推奨しています。

npmエコシステムに対するサプライチェーン攻撃は2026年に入り、恒常的な脅威となっています。特に暗号資産関連プロジェクトは、その認証情報を通じて直接的な金銭的アクセスが可能となるため、高価値な標的となっています。