อ่านในแอป
สนับสนุนโดย
Crypto News

ดาวน์โหลด 822K ครั้งตกอยู่ในความเสี่ยง: พบเวอร์ชัน node-ipc ที่เป็นอันตรายขโมย AWS และคีย์ส่วนตัว

node-ipc เวอร์ชันอันตราย 3 เวอร์ชัน ซึ่งเป็นไลบรารีพื้นฐานของ Node.js ที่ถูกใช้อย่างแพร่หลายในสายงาน build ของ Web3 ได้รับการยืนยันว่าถูกเจาะเมื่อวันที่ 14 พฤษภาคม โดยบริษัทรักษาความปลอดภัย Slowmist เตือนว่านักพัฒนาคริปโตที่พึ่งพาแพ็กเกจนี้เผชิญความเสี่ยงถูกขโมยข้อมูลรับรอง (credentials) แบบฉับพลันทันที

เขียนโดย
Shiraz JagatiShiraz Jagati
แชร์
ดาวน์โหลด 822K ครั้งตกอยู่ในความเสี่ยง: พบเวอร์ชัน node-ipc ที่เป็นอันตรายขโมย AWS และคีย์ส่วนตัว

ประเด็นสำคัญ

  • Slowmist แจ้งเตือน node-ipc เวอร์ชันอันตราย 3 เวอร์ชันเมื่อวันที่ 14 พฤษภาคม โดยเล็งเป้าไปที่ยอดดาวน์โหลด npm มากกว่า 822,000 ครั้งต่อสัปดาห์
  • เพย์โหลดขนาด 80KB ขโมยข้อมูลรับรองมากกว่า 90 หมวดหมู่ รวมถึงคีย์ AWS และไฟล์ .env ผ่านการทำ DNS tunneling
  • นักพัฒนาต้องตรึง (pin) ไปยัง node-ipc เวอร์ชันที่สะอาดทันที และหมุนเวียน (rotate) ความลับทั้งหมดที่อาจรั่วไหล

ความลับของนักพัฒนาตกอยู่ในความเสี่ยง

บริษัทความปลอดภัยบล็อกเชน Slowmist ได้ปักธงการโจมตี ผ่านระบบข่าวกรองภัยคุกคาม Misteye ของตน โดยระบุรีลีสปลอม 3 รายการ ได้แก่เวอร์ชัน 9.1.6, 9.2.3 และ 12.0.1 แพ็กเกจ node-ipc ซึ่งใช้เพื่อเปิดใช้งานการสื่อสารระหว่างโปรเซส (IPC) ในสภาพแวดล้อม Node.js ถูกฝังอยู่ทั่วสายงาน build ของแอปพลิเคชันแบบกระจายศูนย์ (dApp), ระบบ CI/CD และเครื่องมือของนักพัฒนาทั่วทั้งระบบนิเวศคริปโต

Slowmist Flags Active Supply Chain Attack on Node-ipc, Crypto Devs Urged to Act Now
รีลีสอันตรายถูกระบุว่าเป็นเวอร์ชัน 9.1.6, 9.2.3 และ 12.0.1

แพ็กเกจนี้มีค่าเฉลี่ยยอดดาวน์โหลดมากกว่า 822,000 ครั้งต่อสัปดาห์ ทำให้พื้นผิวการโจมตีมีขนาดใหญ่ ทั้งสามเวอร์ชันอันตรายมีเพย์โหลดแบบทำให้สับสน (obfuscated) ขนาด 80 KB ที่เหมือนกัน ถูกต่อท้ายไว้กับบันเดิล CommonJS ของแพ็กเกจ โค้ดจะทำงานโดยไม่มีเงื่อนไขทุกครั้งที่เรียก require(‘node-ipc’) หมายความว่าโปรเจกต์ใดก็ตามที่ติดตั้งหรืออัปเดตไปยังรีลีสที่ปนเปื้อน จะรันตัวขโมยข้อมูลโดยอัตโนมัติ โดยไม่ต้องมีการโต้ตอบจากผู้ใช้

มัลแวร์ขโมยอะไรบ้าง

เพย์โหลดที่ฝังอยู่เล็งเป้าไปที่ข้อมูลรับรองนักพัฒนาและคลาวด์มากกว่า 90 หมวดหมู่ รวมถึงโทเค็น Amazon Web Services (AWS), ความลับของ Google Cloud และ Microsoft Azure, คีย์ SSH, คอนฟิก Kubernetes, โทเค็น Github CLI และไฟล์ประวัติคำสั่งเชลล์ สำหรับวงการคริปโตโดยเฉพาะ มัลแวร์เล็งไปที่ไฟล์ .env ซึ่งมักเก็บคีย์ส่วนตัว ข้อมูลรับรองของโหนด RPC และความลับ API ของกระดานเทรด ข้อมูลที่ถูกขโมยจะถูกส่งออก (exfiltrate) ผ่าน DNS tunneling โดยส่งไฟล์ผ่านคำขอ Domain Name System เพื่อหลบเลี่ยงเครื่องมือมอนิเตอร์เครือข่ายมาตรฐาน

นักวิจัยที่ Stepsecurity ยืนยันว่า ผู้โจมตี ไม่เคยแตะต้องโค้ดต้นฉบับของ node-ipc แต่ใช้การเจาะบัญชีผู้ดูแลที่ถูกทิ้งร้าง ด้วยการกลับไปจดทะเบียนโดเมนอีเมลที่หมดอายุของบัญชีนั้นใหม่

โดเมน atlantis-software.net หมดอายุเมื่อวันที่ 10 มกราคม 2025 และผู้โจมตีได้จดทะเบียนใหม่ผ่าน Namecheap เมื่อวันที่ 7 พฤษภาคม 2026 จากนั้นจึงเริ่มกระบวนการรีเซ็ตรหัสผ่าน npm ตามปกติ ทำให้ได้สิทธิ์เผยแพร่ (publish) แบบเต็มโดยที่ผู้ดูแลเดิมไม่รู้ตัว

เวอร์ชันอันตรายถูกปล่อยค้างอยู่บนรีจิสทรีประมาณสองชั่วโมงก่อนถูกตรวจพบและนำออก โปรเจกต์ใดก็ตามที่รัน npm install หรือมีการอัปเดต dependency อัตโนมัติในช่วงเวลาดังกล่าว ควรถูกมองว่าอาจถูกเจาะได้ ทีมความปลอดภัยแนะนำให้ตรวจสอบไฟล์ lock ทันทีว่ามี node-ipc เวอร์ชัน 9.1.6, 9.2.3 หรือ 12.0.1 หรือไม่ และย้อนกลับไปใช้รีลีสที่สะอาดซึ่งผ่านการยืนยันล่าสุด

การโจมตีซัพพลายเชนในระบบนิเวศ npm กลายเป็นภัยคุกคามที่ต่อเนื่อง ในปี 2026 โดยโปรเจกต์คริปโตเป็นเป้าหมายมูลค่าสูง เนื่องจากข้อมูลรับรองของพวกเขาสามารถให้การเข้าถึงทางการเงินโดยตรงได้

แท็กในเรื่องนี้
AmazonDecentralized applications (dApps)