Tatlong mapanirang bersyon ng node-ipc, isang pundamental na Node.js library na ginagamit sa iba’t ibang Web3 build pipeline, ang nakumpirmang nakompromiso noong Mayo 14, at nagbabala ang security firm na Slowmist na ang mga crypto developer na umaasa sa package na ito ay nahaharap sa agarang panganib ng pagnanakaw ng kredensyal.
822K Download na Nanganganib: Naobserbahan ang mga Mapaminsalang Bersyon ng node-ipc na Nagnanakaw ng AWS at mga Pribadong Key
ISINULAT NI
IBAHAGI
Mahahalagang Punto
Nanganganib ang Mga Lihim ng Developer
Ang blockchain security firm na Slowmist ay nag-flag ng pag-atake sa pamamagitan ng Misteye threat intelligence system nito, at natukoy ang tatlong rogue release, partikular ang mga bersyong 9.1.6, 9.2.3, at 12.0.1. Ang node-ipc package, na ginagamit upang paganahin ang inter-process communication (IPC) sa mga Node.js environment, ay naka-embed sa iba’t ibang decentralized application (dApp) build pipeline, CI/CD system, at mga developer tooling sa buong crypto ecosystem.
Umaabot sa mahigit 822,000 ang average na lingguhang downloads ng package, kaya malaki ang attack surface. Bawat isa sa tatlong mapanirang bersyon ay may kaparehong 80 KB na obfuscated payload na idinugtong sa CommonJS bundle ng package. Tumitira ang code nang walang kondisyon sa bawat tawag na require(‘node-ipc’), ibig sabihin, anumang proyektong nag-install o nag-update patungo sa kontaminadong release ay awtomatikong pinatakbo ang stealer, nang hindi kailangan ng anumang pakikipag-ugnayan ng user.
Ano ang Ninakaw ng Malware
Tinatarget ng naka-embed na payload ang mahigit 90 kategorya ng developer at cloud credentials, kabilang ang mga token ng Amazon Web Services (AWS), mga lihim ng Google Cloud at Microsoft Azure, SSH keys, mga configuration ng Kubernetes, Github CLI tokens, at mga shell history file. Mahalaga sa crypto space, tinatarget ng malware ang mga .env file, na madalas maglaman ng mga private key, RPC node credentials, at exchange API secrets. Ang ninakaw na data ay inilalabas (exfiltrated) sa pamamagitan ng DNS tunneling, na nagruruta ng mga file sa pamamagitan ng mga query ng Domain Name System upang makaiwas sa mga karaniwang network monitoring tool.
Kinumpirma ng mga researcher sa Stepsecurity na ang attacker ay hindi kailanman ginalaw ang orihinal na codebase ng node-ipc. Sa halip, sinamantala nila ang isang dormant na maintainer account sa pamamagitan ng muling pagrehistro sa expired nitong email domain.
Ang domain na atlantis-software.net ay nag-expire noong Enero 10, 2025, at muling inirehistro ng attacker sa pamamagitan ng Namecheap noong Mayo 7, 2026. Pagkatapos ay nag-trigger sila ng karaniwang npm password reset, na nagbigay sa kanila ng ganap na publish access nang hindi nalalaman ng orihinal na maintainer.
Nanatiling live ang mga mapanirang bersyon sa registry nang humigit-kumulang dalawang oras bago matuklasan at maalis. Anumang proyektong nagpatakbo ng npm install o nag-auto-update ng dependencies sa loob ng panahong iyon ay dapat ituring na posibleng nakompromiso. Inirekomenda ng mga security team ang agarang pag-audit ng lock files para sa mga bersyong 9.1.6, 9.2.3, o 12.0.1 ng node-ipc at ang pag-roll back sa huling napatunayang malinis na release.
Ang mga supply chain attack sa npm ecosystem ay naging isang patuloy na banta noong 2026, kung saan ang mga crypto project ay nagsisilbing high-value target dahil sa direktang akses sa pananalapi na maaaring maibigay ng kanilang mga kredensyal.
