14. mája bolo potvrdené, že tri škodlivé verzie node-ipc, základnej knižnice Node.js používanou v procesoch vývoja Web3, boli napadnuté. Bezpečnostná firma Slowmist varovala, že vývojári kryptomien, ktorí tento balík používajú, čelia bezprostrednému riziku krádeže prihlasovacích údajov.
Ohrozených je 822 000 stiahnutí: Zistili sa škodlivé verzie node-ipc, ktoré kradnú kľúče AWS a súkromné kľúče
NAPÍSAL
ZDIEĽAŤ
Kľúčové body
Ohrozené tajné údaje vývojárov
Spoločnosť Slowmist, ktorá sa zaoberá bezpečnosťou blockchainu, upozornila na tento útok prostredníctvom svojho systému Misteye na monitorovanie hrozieb a identifikovala tri škodlivé verzie, a to verzie 9.1.6, 9.2.3 a 12.0.1. Balík node-ipc, ktorý sa používa na umožnenie komunikácie medzi procesmi (IPC) v prostrediach Node.js, je integrovaný do zostavovacích potrubí decentralizovaných aplikácií (dApp), systémov CI/CD a vývojárskych nástrojov v celom kryptoekosystéme.
Balík má v priemere viac ako 822 000 stiahnutí týždenne, čo predstavuje značnú útočnú plochu. Každá z týchto troch škodlivých verzií obsahuje identický 80 KB zakódovaný payload pripojený k balíku CommonJS. Kód sa spustí bezpodmienečne pri každom volaní require('node-ipc'), čo znamená, že akýkoľvek projekt, ktorý nainštaloval alebo aktualizoval na infikované verzie, automaticky spustil tento program na krádež údajov bez potreby interakcie používateľa.
Čo malware kradne
Vložený payload sa zameriava na viac ako 90 kategórií prihlasovacích údajov vývojárov a cloudových služieb, vrátane tokenov Amazon Web Services (AWS), tajných údajov Google Cloud a Microsoft Azure, SSH kľúčov, konfigurácií Kubernetes, tokenov Github CLI a súborov histórie shellu. V súvislosti s kryptomenovým priestorom sa malware zameriava na súbory .env, ktoré často ukladajú súkromné kľúče, prihlasovacie údaje uzlov RPC a tajné údaje API búrz. Ukradnuté údaje sú exfiltrované prostredníctvom DNS tunelovania, pričom súbory smerujú cez dotazy systému doménových mien (DNS), aby sa vyhli štandardným nástrojom na monitorovanie siete.
Výskumníci zo Stepsecurity potvrdili, že útočníksa nikdy nedotkol pôvodného kódu node-ipc. Namiesto toho zneužili neaktívny účet správcu tým, že znovu zaregistrovali jeho vypršanú e-mailovú doménu.
Doména atlantis-software.net vypršala 10. januára 2025 a útočník ju znovu zaregistroval prostredníctvom Namecheap 7. mája 2026. Následne spustili štandardné obnovenie hesla npm, čím získali plný prístup na publikovanie bez vedomia pôvodného správcu.
Škodlivé verzie zostali v registri približne dve hodiny, kým boli odhalené a odstránené. Akýkoľvek projekt, ktorý počas tohto obdobia spustil npm install alebo automaticky aktualizoval závislosti, by mal byť považovaný za potenciálne ohrozený. Bezpečnostné tímy odporúčajú okamžite skontrolovať súbory lock pre verzie 9.1.6, 9.2.3 alebo 12.0.1 node-ipc a vrátiť sa k poslednej overenej čistej verzii.
Útoky na dodávateľský reťazec v ekosystéme npm sa v roku 2026 stali trvalou hrozbou, pričom krypto projekty slúžia ako vysoko hodnotné ciele kvôli priamemu finančnému prístupu, ktorý môžu poskytnúť ich prihlasovacie údaje.
