14 maja potwierdzono, że trzy złośliwe wersje biblioteki node-ipc – podstawowej biblioteki Node.js wykorzystywanej w procesach tworzenia aplikacji Web3 – zostały zainfekowane. Firma Slowmist ostrzegła, że programiści kryptowalutowi korzystający z tego pakietu są narażeni na bezpośrednie ryzyko kradzieży danych uwierzytelniających.
822 tys. pobrań zagrożonych: wykryto złośliwe wersje biblioteki node-ipc, które kradną klucze AWS i klucze prywatne
NAPISAŁ
UDOSTĘPNIJ
Najważniejsze wnioski
Sekrety programistów w niebezpieczeństwie
Firma Slowmist zajmująca się bezpieczeństwem blockchain zidentyfikowała atak za pomocą swojego systemu analizy zagrożeń Misteye, wykrywając trzy nieautoryzowane wersje, a mianowicie wersje 9.1.6, 9.2.3 i 12.0.1. Pakiet node-ipc, używany do umożliwienia komunikacji międzyprocesowej (IPC) w środowiskach Node.js, jest wbudowany w potoki tworzenia aplikacji zdecentralizowanych (dApp), systemy CI/CD oraz narzędzia programistyczne w całym ekosystemie kryptowalut.
Pakiet ten jest pobierany średnio ponad 822 000 razy tygodniowo, co sprawia, że powierzchnia ataku jest znaczna. Każda z trzech złośliwych wersji zawiera identyczny, zaszyfrowany ładunek o wielkości 80 KB, dołączony do pakietu CommonJS. Kod uruchamia się bezwarunkowo przy każdym wywołaniu require('node-ipc'), co oznacza, że każdy projekt, w którym zainstalowano lub zaktualizowano zainfekowane wersje, automatycznie uruchamiał program kradnący dane, bez konieczności interakcji użytkownika.
Co kradnie złośliwe oprogramowanie
Wbudowany ładunek atakuje ponad 90 kategorii danych uwierzytelniających programistów i usług w chmurze, w tym tokeny Amazon Web Services (AWS), sekrety Google Cloud i Microsoft Azure, klucze SSH, konfiguracje Kubernetes, tokeny Github CLI oraz pliki historii powłoki. W kontekście przestrzeni kryptowalut złośliwe oprogramowanie atakuje pliki .env, w których często przechowywane są klucze prywatne, dane uwierzytelniające węzłów RPC oraz sekrety API giełd. Skradzione dane są wyciekane za pomocą tunelowania DNS, kierując pliki przez zapytania do systemu nazw domenowych (DNS), aby ominąć standardowe narzędzia do monitorowania sieci.
Badacze z Stepsecurity potwierdzili, że atakującynigdy nie ingerował w oryginalny kod źródłowy node-ipc. Zamiast tego wykorzystali nieaktywne konto opiekuna, ponownie rejestrując jego wygasłą domenę e-mailową.
Domena atlantis-software.net wygasła 10 stycznia 2025 r., a atakujący ponownie zarejestrował ją za pośrednictwem Namecheap 7 maja 2026 r. Następnie uruchomili standardową procedurę resetowania hasła npm, uzyskując pełny dostęp do publikacji bez wiedzy pierwotnego opiekuna.
Złośliwe wersje pozostawały w rejestrze przez około dwie godziny, zanim zostały wykryte i usunięte. Każdy projekt, który w tym czasie uruchomił npm install lub automatycznie zaktualizował zależności, powinien być traktowany jako potencjalnie zagrożony. Zespoły ds. bezpieczeństwa zalecają natychmiastowe sprawdzenie plików blokujących dla wersji 9.1.6, 9.2.3 lub 12.0.1 node-ipc oraz przywrócenie ostatniej zweryfikowanej, czystej wersji.
Ataki na łańcuch dostaw w ekosystemie npm stały się w 2026 r. stałym zagrożeniem, a projekty kryptowalutowe są atrakcyjnym celem ze względu na bezpośredni dostęp do środków finansowych, jaki zapewniają ich dane uwierzytelniające.
