Tiga versi berniat jahat node-ipc, sebuah pustaka Node.js asas yang digunakan secara meluas merentas saluran binaan Web3, disahkan telah dikompromi pada 14 Mei, dengan firma keselamatan Slowmist memberi amaran bahawa pembangun kripto yang bergantung pada pakej itu berdepan risiko kecurian kelayakan serta-merta.
822K Muat Turun Berisiko: Versi node-ipc Berniat Jahat Dikesan Mencuri AWS dan Kunci Peribadi
DITULIS OLEH
KONGSI
Intipati Utama
Rahsia Pembangun Terancam
Firma keselamatan rantaian blok Slowmist menandai serangan itu melalui sistem risikan ancaman Misteye, mengenal pasti tiga keluaran jahat, iaitu versi 9.1.6, 9.2.3, dan 12.0.1. Pakej node-ipc, yang digunakan untuk membolehkan komunikasi antara proses (IPC) dalam persekitaran Node.js, tertanam merentas saluran binaan aplikasi terdesentralisasi (dApp), sistem CI/CD, dan alatan pembangun di seluruh ekosistem kripto.
Pakej ini mencatat purata lebih 822,000 muat turun mingguan, menjadikan permukaan serangan sangat besar. Setiap daripada tiga versi berniat jahat membawa muatan terselindung (obfuscated) 80 KB yang sama, ditambahkan pada bundel CommonJS pakej tersebut. Kod itu akan berjalan tanpa syarat pada setiap panggilan require(‘node-ipc’), bermakna mana-mana projek yang memasang atau mengemas kini kepada keluaran tercemar menjalankan pencuri itu secara automatik, tanpa memerlukan sebarang interaksi pengguna.
Apa yang Dicuri oleh Perisian Hasad
Muatan tertanam itu menyasarkan lebih 90 kategori kelayakan pembangun dan awan, termasuk token Amazon Web Services (AWS), rahsia Google Cloud dan Microsoft Azure, kunci SSH, konfigurasi Kubernetes, token Github CLI, serta fail sejarah shell. Berkaitan dengan ruang kripto, perisian hasad ini menyasarkan fail .env, yang kerap menyimpan kunci peribadi, kelayakan nod RPC, dan rahsia API bursa. Data yang dicuri dieksfiltrasi melalui terowongan DNS, menghalakan fail melalui pertanyaan Sistem Nama Domain untuk mengelak alat pemantauan rangkaian standard.
Penyelidik di Stepsecurity mengesahkan penyerang tidak pernah menyentuh kod asal node-ipc. Sebaliknya, mereka mengeksploitasi akaun penyelenggara yang lama tidak aktif dengan mendaftar semula domain e-mel yang telah tamat tempoh.
Domain atlantis-software.net tamat tempoh pada 10 Januari 2025, dengan penyerang mendaftar semula melalui Namecheap pada 7 Mei 2026. Mereka kemudian mencetuskan tetapan semula kata laluan npm standard, memperoleh akses penerbitan penuh tanpa pengetahuan penyelenggara asal.
Versi berniat jahat itu kekal aktif di registry selama kira-kira dua jam sebelum dikesan dan dibuang. Mana-mana projek yang menjalankan npm install atau mengemas kini kebergantungan secara automatik dalam tempoh tersebut harus dianggap berpotensi dikompromi. Pasukan keselamatan mengesyorkan agar fail lock diaudit serta-merta bagi versi 9.1.6, 9.2.3, atau 12.0.1 node-ipc dan mengundur (rollback) kepada keluaran bersih terakhir yang disahkan.
Serangan rantaian bekalan terhadap ekosistem npm telah menjadi ancaman yang berterusan pada tahun 2026, dengan projek kripto menjadi sasaran bernilai tinggi kerana akses kewangan langsung yang boleh diberikan oleh kelayakan mereka.
