Pe 14 mai s-a confirmat compromiterea a trei versiuni maligne ale node-ipc, o bibliotecă fundamentală Node.js utilizată în fluxurile de lucru Web3, firma de securitate Slowmist avertizând că dezvoltatorii din domeniul criptomonedelor care utilizează acest pachet se confruntă cu un risc imediat de furt al datelor de autentificare.
822.000 de descărcări expuse riscului: au fost identificate versiuni rău intenționate ale aplicației node-ipc care fură cheile AWS și cheile private
SCRIS DE
DISTRIBUIE
Concluzii cheie
Secretele dezvoltatorilor în pericol
Firma de securitate blockchain Slowmist a semnalat atacul prin intermediul sistemului său de informații privind amenințările Misteye, identificând trei versiuni necorespunzătoare, și anume versiunile 9.1.6, 9.2.3 și 12.0.1. Pachetul node-ipc, utilizat pentru a permite comunicarea între procese (IPC) în mediile Node.js, este încorporat în pipeline-urile de construire a aplicațiilor descentralizate (dApp), în sistemele CI/CD și în instrumentele de dezvoltare din întregul ecosistem criptografic.
Pachetul are în medie peste 822.000 de descărcări săptămânale, ceea ce face ca suprafața de atac să fie substanțială. Fiecare dintre cele trei versiuni maligne conține o sarcină utilă ofuscată identică de 80 KB atașată la pachetul CommonJS al pachetului. Codul se execută necondiționat la fiecare apel require('node-ipc'), ceea ce înseamnă că orice proiect care a instalat sau a actualizat versiunile compromise a rulat automat programul de furt, fără a fi necesară interacțiunea utilizatorului.
Ce fură malware-ul
Sarcina utilă încorporată vizează peste 90 de categorii de credențiale de dezvoltator și cloud, inclusiv token-uri Amazon Web Services (AWS), secrete Google Cloud și Microsoft Azure, chei SSH, configurații Kubernetes, token-uri Github CLI și fișiere de istoric shell. Relevant pentru spațiul criptografic, malware-ul vizează fișierele .env, care stochează frecvent chei private, credențiale de nod RPC și secrete API de schimb. Datele furate sunt exfiltrate prin tunelare DNS, redirecționând fișierele prin interogări ale Sistemului de Nume de Domeniu pentru a evita instrumentele standard de monitorizare a rețelei.
Cercetătorii de la Stepsecurity au confirmat că atacatorulnu a atins niciodată codul sursă original al node-ipc. În schimb, aceștia au exploatat un cont inactiv al administratorului, prin reînregistrarea domeniului de e-mail expirat al acestuia.
Domeniul atlantis-software.net a expirat pe 10 ianuarie 2025, atacatorul înregistrându-l din nou prin Namecheap pe 7 mai 2026. Apoi au declanșat o resetare standard a parolei npm, obținând acces complet la publicare fără știrea administratorului original.
Versiunile rău intenționate au rămas active în registru timp de aproximativ două ore înainte de a fi detectate și eliminate. Orice proiect care a rulat npm install sau a actualizat automat dependențele în acea perioadă ar trebui tratat ca fiind potențial compromis. Echipele de securitate au recomandat verificarea imediată a fișierelor de blocare pentru versiunile 9.1.6, 9.2.3 sau 12.0.1 ale node-ipc și revenirea la ultima versiune verificată ca fiind curată.
Atacurile asupra lanțului de aprovizionare din ecosistemul npm au devenit o amenințare persistentă în 2026, proiectele de criptografie fiind ținte de mare valoare datorită accesului financiar direct pe care îl pot oferi datele lor de autentificare.
