Tre ondsinnede versjoner av node-ipc, et grunnleggende Node.js-bibliotek brukt på tvers av Web3-byggpipelines, ble bekreftet kompromittert 14. mai, med sikkerhetsselskapet Slowmist som advarer om at kryptoutviklere som er avhengige av pakken står overfor umiddelbar risiko for tyveri av påloggingsopplysninger.
822K nedlastinger i fare: Ondsinnede node-ipc-versjoner oppdaget mens de stjeler AWS- og private nøkler
SKREVET AV
DEL
Viktige punkter
Utviklerhemmeligheter står på spill
Blockchain-sikkerhetsselskapet Slowmist flagget angrepet via sitt Misteye-trusseletterretningssystem, og identifiserte tre falske utgivelser, nemlig versjonene 9.1.6, 9.2.3 og 12.0.1. node-ipc-pakken, brukt til å muliggjøre inter-prosesskommunikasjon (IPC) i Node.js-miljøer, er innebygd på tvers av byggpipelines for desentraliserte applikasjoner (dApp), CI/CD-systemer og utviklerverktøy gjennom hele kryptoøkosystemet.
Pakken har i gjennomsnitt over 822 000 ukentlige nedlastinger, noe som gjør angrepsflaten betydelig. Hver av de tre ondsinnede versjonene inneholder en identisk 80 KB obfuskert nyttelast lagt til pakkens CommonJS-bundle. Koden kjøres uten betingelser ved hvert require(‘node-ipc’)-kall, noe som betyr at ethvert prosjekt som installerte eller oppdaterte til de forurensede utgivelsene kjørte tyveren automatisk, uten at brukerinteraksjon var nødvendig.
Hva skadevaren stjeler
Den innebygde nyttelasten retter seg mot over 90 kategorier av utvikler- og skylegitimasjon, inkludert Amazon Web Services (AWS)-tokener, Google Cloud- og Microsoft Azure-hemmeligheter, SSH-nøkler, Kubernetes-konfigurasjoner, Github CLI-tokener og shell-historikkfiler. Relevant for kryptoområdet retter skadevaren seg mot .env-filer, som ofte lagrer private nøkler, RPC-nodelegitimasjon og API-hemmeligheter for børser. Stjålne data eksfiltreres via DNS-tunnellering, og ruter filer gjennom DNS-forespørsler (Domain Name System) for å omgå standard verktøy for nettverksovervåking.
Forskere hos Stepsecurity bekreftet at angriperen aldri rørte node-ipc sin opprinnelige kodebase. I stedet utnyttet de en inaktiv vedlikeholderkonto ved å registrere e-postdomenet på nytt etter at det utløp.
Domenet atlantis-software.net utløp 10. januar 2025, og angriperen registrerte det på nytt via Namecheap 7. mai 2026. Deretter utløste de en standard npm-passordtilbakestilling og fikk full publiseringstilgang uten at den opprinnelige vedlikeholderen visste om det.
De ondsinnede versjonene lå ute i registeret i omtrent to timer før de ble oppdaget og fjernet. Ethvert prosjekt som kjørte npm install eller auto-oppdaterte avhengigheter i det tidsrommet, bør behandles som potensielt kompromittert. Sikkerhetsteam har anbefalt å revidere lock-filer umiddelbart for versjonene 9.1.6, 9.2.3 eller 12.0.1 av node-ipc og rulle tilbake til den siste verifiserte rene utgivelsen.
Forsyningskjedeangrep mot npm-økosystemet har blitt en vedvarende trussel i 2026, med kryptoprosjekter som høyverdimål på grunn av den direkte finansielle tilgangen legitimasjonen deres kan gi.
