14 мая было подтверждено, что три вредоносные версии node-ipc — базовой библиотеки Node.js, используемой в конвейерах сборки Web3 — были взломаны. Компания Slowmist, специализирующаяся на вопросах безопасности, предупредила, что разработчики криптовалютных проектов, использующие этот пакет, подвергаются непосредственной угрозе кражи учетных данных.
822 тыс. загрузок под угрозой: обнаружены вредоносные версии node-ipc, похищающие ключи AWS и закрытые ключи
АВТОР
ПОДЕЛИТЬСЯ
Основные выводы
Секретные данные разработчиков под угрозой
Компания Slowmist, специализирующаяся на безопасности блокчейнов, обнаружила атаку с помощью своей системы анализа угроз Misteye и выявила три вредоносных выпуска, а именно версии 9.1.6, 9.2.3 и 12.0.1. Пакет node-ipc, используемый для обеспечения межпроцессного взаимодействия (IPC) в средах Node.js, встроен в конвейеры сборки децентрализованных приложений (dApp), системы CI/CD и инструментарий разработчиков по всей криптоэкосистеме.
Пакет в среднем скачивается более 822 000 раз в неделю, что делает поверхность атаки значительной. Каждая из трех вредоносных версий содержит идентичный запутывающийся полезный груз размером 80 КБ, добавленный к CommonJS-сборке пакета. Код запускается безоговорочно при каждом вызове require('node-ipc'), что означает, что любой проект, в котором были установлены или обновлены зараженные версии, автоматически запускал программу-крадушку без какого-либо взаимодействия с пользователем.
Что крадет вредоносное ПО
Встроенный полезный груз нацелен на более 90 категорий учетных данных разработчиков и облачных сервисов, включая токены Amazon Web Services (AWS), секретные данные Google Cloud и Microsoft Azure, SSH-ключи, конфигурации Kubernetes, токены Github CLI и файлы истории командной оболочки. Что касается криптовалютной сферы, вредоносное ПО нацелено на файлы .env, в которых часто хранятся закрытые ключи, учетные данные узлов RPC и секретные данные API бирж. Украденные данные выводятся через DNS-туннелирование, маршрутизируя файлы через запросы к системе доменных имен, чтобы обойти стандартные инструменты сетевого мониторинга.
Исследователи из Stepsecurity подтвердили, что злоумышленникникогда не затрагивал исходный код node-ipc. Вместо этого они воспользовались неактивной учетной записью сопровождающего, перерегистрировав его просроченный домен электронной почты.
Срок действия домена atlantis-software.net истек 10 января 2025 года, и злоумышленник перерегистрировал его через Namecheap 7 мая 2026 года. Затем они инициировали стандартную смену пароля npm, получив полный доступ к публикации без ведома первоначального сопровождающего.
Вредоносные версии оставались в реестре примерно два часа, прежде чем были обнаружены и удалены. Любой проект, в котором запускалась команда npm install или выполнялось автоматическое обновление зависимостей в течение этого периода, следует рассматривать как потенциально скомпрометированный. Команды безопасности рекомендовали немедленно провести аудит файлов блокировки для версий 9.1.6, 9.2.3 или 12.0.1 node-ipc и выполнить откат к последнему проверенному чистому релизу.
Атаки на цепочку поставок в экосистеме npm стали постоянной угрозой в 2026 году, причем криптопроекты служат ценными целями из-за прямого финансового доступа, который могут обеспечить их учетные данные.
