14 травня було підтверджено, що три шкідливі версії node-ipc — базової бібліотеки Node.js, яка використовується в конвеєрах побудови Web3 — були скомпрометовані. Компанія з кібербезпеки Slowmist попередила, що розробники криптовалютних проектів, які використовують цей пакет, наражаються на безпосередній ризик викрадення облікових даних.
822 тис. завантажень під загрозою: виявлено шкідливі версії node-ipc, які викрадають ключі AWS та приватні ключі
АВТОР
ПОДІЛИТИСЯ
Основні висновки
Секрети розробників під загрозою
Компанія Slowmist, що спеціалізується на безпеці блокчейнів, виявила атаку за допомогою своєї системи аналізу загроз Misteye, ідентифікувавши три шкідливі версії, а саме 9.1.6, 9.2.3 та 12.0.1. Пакет node-ipc, який використовується для забезпечення міжпроцесної комунікації (IPC) у середовищах Node.js, вбудовано у конвеєри побудови децентралізованих додатків (dApp), системи CI/CD та інструменти розробників у всій криптоекосистемі.
Цей пакет завантажують у середньому понад 822 000 разів на тиждень, що робить площину атаки значною. Кожна з трьох шкідливих версій містить однаковий зашифрований корисний вантаж розміром 80 КБ, доданий до пакета CommonJS. Код запускається беззастережно при кожному виклику require('node-ipc'), що означає, що будь-який проєкт, який встановив або оновив до заражених версій, автоматично запускав шкідливу програму, без необхідності взаємодії з користувачем.
Що викрадає шкідливе програмне забезпечення
Вбудований корисний вантаж націлений на понад 90 категорій облікових даних розробників та хмарних сервісів, включаючи токени Amazon Web Services (AWS), секретні дані Google Cloud та Microsoft Azure, ключі SSH, конфігурації Kubernetes, токени Github CLI та файли історії оболонки. Що стосується криптопростору, шкідливе програмне забезпечення націлене на файли .env, в яких часто зберігаються приватні ключі, облікові дані вузлів RPC та секретні дані API бірж. Викрадені дані виводяться через DNS-тунелювання, маршрутизуючи файли через запити до системи доменних імен, щоб уникнути стандартних інструментів моніторингу мережі.
Дослідники Stepsecurity підтвердили, що зловмисникніколи не торкався оригінальної кодової бази node-ipc. Натомість вони використали неактивний обліковий запис адміністратора, перереєструвавши його домен електронної пошти, термін дії якого закінчився.
Домен atlantis-software.net втратив чинність 10 січня 2025 року, а зловмисник перереєстрував його через Namecheap 7 травня 2026 року. Потім вони ініціювали стандартне скидання пароля npm, отримавши повний доступ до публікації без відома оригінального адміністратора.
Шкідливі версії залишалися в реєстрі приблизно дві години, перш ніж їх було виявлено та видалено. Будь-який проєкт, який запускав npm install або автоматично оновлював залежності протягом цього періоду, слід розглядати як потенційно скомпрометований. Команди з безпеки рекомендують негайно перевірити файли блокування для версій 9.1.6, 9.2.3 або 12.0.1 node-ipc та повернутися до останнього перевіреного чистого релізу.
Атаки на ланцюжок постачання в екосистемі npm стали постійною загрозою у 2026 році, причому криптопроекти слугують високоцінними цілями через прямий фінансовий доступ, який можуть надати їхні облікові дані.
