Três versões maliciosas do node-ipc, uma biblioteca fundamental do Node.js utilizada em pipelines de desenvolvimento Web3, foram confirmadas como comprometidas em 14 de maio, com a empresa de segurança Slowmist alertando que os desenvolvedores de criptomoedas que utilizam o pacote correm risco imediato de roubo de credenciais.
822 mil downloads em risco: versões maliciosas do node-ipc foram identificadas roubando chaves da AWS e chaves privadas
ESCRITO POR
PARTILHAR
Pontos principais
Segredos dos desenvolvedores em risco
A empresa de segurança de blockchain Slowmist sinalizou o ataque por meio de seu sistema de inteligência de ameaças Misteye, identificando três versões maliciosas, a saber, as versões 9.1.6, 9.2.3 e 12.0.1. O pacote node-ipc, usado para habilitar a comunicação entre processos (IPC) em ambientes Node.js, está incorporado em pipelines de construção de aplicativos descentralizados (dApps), sistemas de CI/CD e ferramentas de desenvolvedor em todo o ecossistema de criptomoedas.
O pacote tem uma média de mais de 822.000 downloads semanais, o que torna a superfície de ataque substancial. Cada uma das três versões maliciosas carrega uma carga útil ofuscada idêntica de 80 KB anexada ao pacote CommonJS do pacote. O código é executado incondicionalmente em cada chamada require('node-ipc'), o que significa que qualquer projeto que tenha instalado ou atualizado para as versões contaminadas executou o roubador automaticamente, sem a necessidade de interação do usuário.
O que o malware rouba
A carga útil incorporada tem como alvo mais de 90 categorias de credenciais de desenvolvedores e de nuvem, incluindo tokens da Amazon Web Services (AWS), segredos do Google Cloud e do Microsoft Azure, chaves SSH, configurações do Kubernetes, tokens da CLI do Github e arquivos de histórico do shell. No que diz respeito ao espaço de criptomoedas, o malware tem como alvo arquivos .env, que frequentemente armazenam chaves privadas, credenciais de nós RPC e segredos de API de exchange. Os dados roubados são exfiltrados por meio de tunelamento DNS, roteando arquivos através de consultas ao Sistema de Nomes de Domínio para burlar as ferramentas padrão de monitoramento de rede.
Pesquisadores da Stepsecurity confirmaram que o invasornunca alterou a base de código original do node-ipc. Em vez disso, eles exploraram uma conta de mantenedor inativa, registrando novamente seu domínio de e-mail expirado.
O domínio atlantis-software.net expirou em 10 de janeiro de 2025, e o invasor o registrou novamente via Namecheap em 7 de maio de 2026. Em seguida, eles acionaram uma redefinição de senha padrão do npm, obtendo acesso total de publicação sem o conhecimento do mantenedor original.
As versões maliciosas permaneceram ativas no registro por aproximadamente duas horas antes de serem detectadas e removidas. Qualquer projeto que tenha executado o npm install ou atualizado dependências automaticamente durante esse período deve ser tratado como potencialmente comprometido. As equipes de segurança recomendaram a auditoria imediata dos arquivos de bloqueio para as versões 9.1.6, 9.2.3 ou 12.0.1 do node-ipc e o revertimento para a última versão limpa verificada.
Ataques à cadeia de suprimentos no ecossistema npm se tornaram uma ameaça persistente em 2026, com projetos de criptomoedas servindo como alvos de alto valor devido ao acesso financeiro direto que suas credenciais podem proporcionar.
