Tre skadliga versioner av node-ipc, ett grundläggande Node.js-bibliotek som används i Web3-byggpipelines, bekräftades ha komprometterats den 14 maj. Säkerhetsföretaget Slowmist varnar för att kryptoutvecklare som använder paketet löper omedelbar risk för stöld av inloggningsuppgifter.
822 000 nedladdningar i fara: Skadliga versioner av node-ipc har upptäckts som stjäl AWS-nycklar och privata nycklar
SKRIVEN AV
DELA
Huvudpunkter
Utvecklarnas hemligheter står på spel
Blockkedjesäkerhetsföretaget Slowmist flaggade attacken via sitt hotinformationssystem Misteye och identifierade tre skadliga versioner, nämligen versionerna 9.1.6, 9.2.3 och 12.0.1. Node-ipc-paketet, som används för att möjliggöra interprocesskommunikation (IPC) i Node.js-miljöer, är inbäddat i byggpipelines för decentraliserade applikationer (dApp), CI/CD-system och utvecklingsverktyg i hela kryptoekosystemet.
Paketet har i genomsnitt över 822 000 nedladdningar per vecka, vilket gör attackytan betydande. Var och en av de tre skadliga versionerna bär en identisk 80 KB förvrängd nyttolast som är bifogad till paketets CommonJS-paket. Koden aktiveras villkorslöst vid varje require('node-ipc')-anrop, vilket innebär att alla projekt som installerade eller uppdaterade till de smittade versionerna körde stjälprogrammet automatiskt, utan att någon användarinteraktion behövdes.
Vad skadlig programvara stjäl
Den inbäddade nyttolasten riktar sig mot över 90 kategorier av utvecklings- och molnautentiseringsuppgifter, inklusive Amazon Web Services (AWS)-tokens, hemligheter för Google Cloud och Microsoft Azure, SSH-nycklar, Kubernetes-konfigurationer, Github CLI-tokens och shell-historikfiler. Med avseende på kryptovärlden riktar sig skadlig programvara mot .env-filer, som ofta lagrar privata nycklar, RPC-nodautentiseringsuppgifter och API-hemligheter för utbyte. Stulna data exfiltreras via DNS-tunneling, där filer dirigeras genom DNS-förfrågningar för att undvika vanliga nätverksövervakningsverktyg.
Forskare vid Stepsecurity bekräftade att angriparenaldrig rörde node-ipcs ursprungliga kodbas. Istället utnyttjade de ett vilande underhållskonto genom att omregistrera dess utgångna e-postdomän.
Domänen atlantis-software.net löpte ut den 10 januari 2025, och angriparen omregistrerade den via Namecheap den 7 maj 2026. Därefter utlöste de en standardåterställning av npm-lösenordet och fick full publiceringsåtkomst utan den ursprungliga underhållarens vetskap.
De skadliga versionerna förblev aktiva i registret i ungefär två timmar innan de upptäcktes och togs bort. Alla projekt som körde npm install eller automatiskt uppdaterade beroenden under den tiden bör betraktas som potentiellt komprometterade. Säkerhetsteam har rekommenderat att omedelbart granska låsfiler för versionerna 9.1.6, 9.2.3 eller 12.0.1 av node-ipc och återgå till den senaste verifierade rena versionen.
Supply chain-attacker mot npm-ekosystemet har blivit ett ständigt hot under 2026, där kryptoprojekt utgör värdefulla mål på grund av den direkta ekonomiska tillgång som deras inloggningsuppgifter kan ge.
