14. maja je bilo potrjeno, da so bile tri zlonamerne različice node-ipc, temeljne knjižnice Node.js, ki se uporablja v razvojnih procesih Web3, okužene; varnostno podjetje Slowmist je opozorilo, da razvijalcem kriptovalut, ki uporabljajo ta paket, grozi neposredno tveganje kraje prijavnih podatkov.
Ogroženih je 822.000 prenosov: odkrili so zlonamerne različice node-ipc, ki kradejo ključe AWS in zasebne ključe
NAPISAL
DELI
Ključne ugotovitve
Ogrožene skrivnosti razvijalcev
Podjetje za varnost blockchaina Slowmist je napad zaznalo prek svojega sistema za obveščanje o grožnjah Misteye in identificiralo tri zlonamerne izdaje, in sicer različice 9.1.6, 9.2.3 in 12.0.1. Paket node-ipc, ki se uporablja za omogočanje medprocesne komunikacije (IPC) v okoljih Node.js, je vgrajen v gradbene poti decentraliziranih aplikacij (dApp), sisteme CI/CD in razvojna orodja v celotnem kriptosistemskem ekosistemu.
Paket ima v povprečju več kot 822.000 prenosov na teden, kar pomeni, da je površina za napad precejšnja. Vsaka od treh zlonamernih različic vsebuje identično 80 KB zakrito koristno breme, priloženo paketu CommonJS. Koda se brezpogojno sproži ob vsakem klicu require('node-ipc'), kar pomeni, da je vsak projekt, ki je namestil ali posodobil okužene različice, samodejno zagnal program za krajo podatkov, brez potrebe po interakciji uporabnika.
Kaj zlonamerna programska oprema krade
Vgrajeni tovor cilja na več kot 90 kategorij razvojnih in oblačnih poverilnic, vključno z žetoni Amazon Web Services (AWS), skrivnostmi Google Cloud in Microsoft Azure, SSH-ključi, konfiguracijami Kubernetes, žetoni Github CLI in datotekami zgodovine lupine. Kar zadeva kriptosvet, zlonamerna programska oprema cilja na datoteke .env, ki pogosto shranjujejo zasebne ključe, poverilnice vozlišč RPC in skrivnosti API-jev borz. Ukradeni podatki se izčrpajo prek DNS-tuneliranja, pri čemer se datoteke usmerjajo prek poizvedb sistema domenskih imen, da se izognejo standardnim orodjem za nadzor omrežja.
Raziskovalci pri Stepsecurity so potrdili, da napadalecni nikoli posegel v izvorno kodno bazo node-ipc. Namesto tega so izkoristili neaktivni račun vzdrževalca, tako da so ponovno registrirali njegovo poteklo e-poštno domeno.
Domena atlantis-software.net je potekla 10. januarja 2025, napadalec pa jo je ponovno registriral prek Namecheap 7. maja 2026. Nato so sprožili standardno ponastavitev gesla npm in tako pridobili popoln dostop do objavljanja brez vednosti prvotnega vzdrževalca.
Zlonamerne različice so ostale v registru približno dve uri, preden so bile odkrite in odstranjene. Vsak projekt, ki je v tem času izvedel npm install ali samodejno posodobil odvisnosti, je treba obravnavati kot potencialno ogroženega. Varnostne ekipe so priporočile takojšnjo revizijo datotek lock za različice 9.1.6, 9.2.3 ali 12.0.1 node-ipc in vrnitev na zadnjo preverjeno čisto izdajo.
Napadi na dobavno verigo v ekosistemu npm so postali stalna grožnja v letu 2026, pri čemer so kriptoprojekti visoko cenjeni cilji zaradi neposrednega finančnega dostopa, ki ga omogočajo njihova pooblastila.
