Op 14 mei werd bevestigd dat drie kwaadaardige versies van node-ipc, een essentiële Node.js-bibliotheek die in Web3-buildpijplijnen wordt gebruikt, waren gehackt. Beveiligingsbedrijf Slowmist waarschuwde dat crypto-ontwikkelaars die van dit pakket gebruikmaken, direct risico lopen op diefstal van inloggegevens.
822.000 downloads in gevaar: er zijn schadelijke versies van node-ipc ontdekt die AWS- en privésleutels stelen
GESCHREVEN DOOR
DELEN
Belangrijkste punten
Geheimen van ontwikkelaars op het spel
Blockchain-beveiligingsbedrijf Slowmist heeft de aanval gesignaleerd via zijn Misteye-systeem voor dreigingsinformatie en drie malafide releases geïdentificeerd, namelijk de versies 9.1.6, 9.2.3 en 12.0.1. Het node-ipc-pakket, dat wordt gebruikt om inter-process communication (IPC) in Node.js-omgevingen mogelijk te maken, is ingebed in build-pijplijnen voor gedecentraliseerde applicaties (dApps), CI/CD-systemen en ontwikkelaarstools in het hele crypto-ecosysteem.
Het pakket wordt gemiddeld meer dan 822.000 keer per week gedownload, waardoor het aanvalsoppervlak aanzienlijk is. Elk van de drie kwaadaardige versies bevat een identieke, verborgen payload van 80 KB die is toegevoegd aan de CommonJS-bundel van het pakket. De code wordt onvoorwaardelijk geactiveerd bij elke require('node-ipc')-aanroep, wat betekent dat elk project dat de besmette releases heeft geïnstalleerd of bijgewerkt, de stealer automatisch uitvoerde, zonder dat er interactie van de gebruiker nodig was.
Wat de malware steelt
De ingebedde payload richt zich op meer dan 90 categorieën van ontwikkelaars- en cloud-inloggegevens, waaronder Amazon Web Services (AWS)-tokens, Google Cloud- en Microsoft Azure-geheimen, SSH-sleutels, Kubernetes-configuraties, Github CLI-tokens en shell-geschiedenisbestanden. Relevant voor de cryptowereld is dat de malware zich richt op .env-bestanden, waarin vaak privésleutels, RPC-node-inloggegevens en API-geheimen van beurzen worden opgeslagen. Gestolen gegevens worden geëxfiltreerd via DNS-tunneling, waarbij bestanden via Domain Name System-query's worden gerouteerd om standaard netwerkmonitoringtools te omzeilen.
Onderzoekers bij Stepsecurity bevestigden dat de aanvallerde oorspronkelijke codebase van node-ipc nooit heeft aangeraakt. In plaats daarvan maakten ze misbruik van een slapend beheerdersaccount door het verlopen e-maildomein ervan opnieuw te registreren.
Het domein atlantis-software.net verliep op 10 januari 2025, waarna de aanvaller het op 7 mei 2026 opnieuw registreerde via Namecheap. Vervolgens activeerden ze een standaard npm-wachtwoordreset, waardoor ze volledige publicatietoegang kregen zonder medeweten van de oorspronkelijke beheerder.
De kwaadaardige versies bleven ongeveer twee uur live in het register staan voordat ze werden gedetecteerd en verwijderd. Elk project dat tijdens dat tijdsbestek npm install heeft uitgevoerd of afhankelijkheden automatisch heeft bijgewerkt, moet worden beschouwd als mogelijk gecompromitteerd. Beveiligingsteams hebben aanbevolen om lock-bestanden voor de versies 9.1.6, 9.2.3 of 12.0.1 van node-ipc onmiddellijk te controleren en terug te rollen naar de laatste geverifieerde schone release.
Aanvallen op de toeleveringsketen van het npm-ecosysteem zijn in 2026 een hardnekkige bedreiging geworden, waarbij cryptoprojecten als zeer waardevolle doelwitten dienen vanwege de directe financiële toegang die hun inloggegevens kunnen bieden.
