Ba phiên bản độc hại của node-ipc, một thư viện cơ bản của Node.js được sử dụng rộng rãi trong các quy trình xây dựng Web3, đã được xác nhận là bị xâm nhập vào ngày 14 tháng 5, với công ty an ninh mạng Slowmist cảnh báo rằng các nhà phát triển tiền điện tử sử dụng gói phần mềm này đang đối mặt với nguy cơ bị đánh cắp thông tin đăng nhập ngay lập tức.
822.000 lượt tải xuống đang gặp rủi ro: Phát hiện các phiên bản độc hại của node-ipc đánh cắp khóa AWS và khóa riêng
TÁC GIẢ
CHIA SẺ
Điểm chính
Bí mật của nhà phát triển đang bị đe dọa
Công ty bảo mật blockchain Slowmist đã phát hiện cuộc tấn công thông qua hệ thống tình báo mối đe dọa Misteye, xác định ba bản phát hành độc hại, cụ thể là các phiên bản 9.1.6, 9.2.3 và 12.0.1. Gói node-ipc, được sử dụng để kích hoạt giao tiếp giữa các tiến trình (IPC) trong môi trường Node.js, được nhúng trong các đường ống xây dựng ứng dụng phi tập trung (dApp), hệ thống CI/CD và các công cụ phát triển trong toàn bộ hệ sinh thái tiền điện tử.
Gói này có trung bình hơn 822.000 lượt tải xuống hàng tuần, khiến diện tích tấn công trở nên đáng kể. Mỗi phiên bản độc hại trong số ba phiên bản này đều chứa một payload được che giấu có kích thước 80 KB giống hệt nhau, được gắn vào gói CommonJS của gói. Mã này được kích hoạt vô điều kiện trên mọi lệnh gọi require('node-ipc'), có nghĩa là bất kỳ dự án nào đã cài đặt hoặc cập nhật lên các bản phát hành bị nhiễm đều tự động chạy trình đánh cắp, mà không cần sự tương tác của người dùng.
Những gì phần mềm độc hại đánh cắp
Tải trọng nhúng nhắm mục tiêu hơn 90 loại thông tin đăng nhập của nhà phát triển và dịch vụ đám mây, bao gồm token Amazon Web Services (AWS), thông tin bí mật của Google Cloud và Microsoft Azure, khóa SSH, cấu hình Kubernetes, token CLI của GitHub và tệp lịch sử lệnh. Đặc biệt trong lĩnh vực tiền điện tử, phần mềm độc hại nhắm mục tiêu các tệp .env, thường chứa khóa riêng tư, thông tin đăng nhập RPC của Node.js và thông tin bí mật API của sàn giao dịch. Dữ liệu bị đánh cắp được chuyển ra ngoài thông qua kỹ thuật DNS tunneling, bằng cách định tuyến các tệp qua các truy vấn Hệ thống Tên miền (DNS) để tránh các công cụ giám sát mạng tiêu chuẩn.
Các nhà nghiên cứu tại Stepsecurity xác nhận rằng kẻ tấn công chưa bao giờ can thiệp vào mã nguồn gốc của node-ipc. Thay vào đó, chúng đã khai thác một tài khoản người duy trì không hoạt động bằng cách đăng ký lại tên miền email đã hết hạn của tài khoản đó.
Tên miền atlantis-software.net hết hạn vào ngày 10 tháng 1 năm 2025, và kẻ tấn công đã đăng ký lại nó thông qua Namecheap vào ngày 7 tháng 5 năm 2026. Sau đó, chúng kích hoạt quy trình đặt lại mật khẩu npm tiêu chuẩn, từ đó giành được quyền truy cập đầy đủ để phát hành mà không có sự biết đến của người duy trì ban đầu.
Các phiên bản độc hại vẫn tồn tại trên kho lưu trữ trong khoảng hai giờ trước khi bị phát hiện và gỡ bỏ. Bất kỳ dự án nào đã thực hiện lệnh `npm install` hoặc tự động cập nhật phụ thuộc trong khoảng thời gian đó đều nên được coi là có nguy cơ bị xâm phạm. Các đội ngũ bảo mật khuyến nghị kiểm tra ngay lập tức các tệp khóa (lock files) cho các phiên bản 9.1.6, 9.2.3 hoặc 12.0.1 của node-ipc và quay lại phiên bản phát hành sạch cuối cùng đã được xác minh.
Các cuộc tấn công chuỗi cung ứng vào hệ sinh thái npm đã trở thành một mối đe dọa dai dẳng trong năm 2026, với các dự án tiền điện tử là mục tiêu có giá trị cao do thông tin đăng nhập của chúng có thể cung cấp quyền truy cập tài chính trực tiếp.
