822K-Downloads gefährdet: Schädliche Node-IPC-Versionen beim Diebstahl von AWS- und privaten Schlüsseln gesichtet

Drei bösartige Versionen von node-ipc, einer grundlegenden Node.js-Bibliothek, die in allen Web3-Build-Pipelines verwendet wird, wurden am 14. Mai als kompromittiert bestätigt, wobei die Sicherheitsfirma Slowmist warnte, dass Krypto-Entwickler, die sich auf das Paket verlassen, einem unmittelbaren Risiko des Diebstahls von Anmeldedaten ausgesetzt sind.

Wichtige Erkenntnisse:

Slowmist hat am 14. Mai drei bösartige Node-IPC-Versionen gemeldet, die auf über 822.000 wöchentliche NPM-Downloads abzielen.

Die 80-KB-Nutzlast stiehlt über DNS-Tunneling über 90 Anmeldeinformationskategorien, einschließlich AWS-Schlüssel und .env-Dateien.

Entwickler müssen sofort saubere Node-IPC-Versionen anheften und alle potenziell offengelegten Geheimnisse rotieren.

Entwicklergeheimnisse auf dem Spiel

Das Blockchain-Sicherheitsunternehmen Slowmist hat den Angriff über sein Threat-Intelligence-System Misteye gemeldet und drei betrügerische Versionen identifiziert, nämlich die Versionen 9.1.6, 9.2.3 und 12.0.1. Das Node-IPC-Paket, das zur Ermöglichung der Interprozesskommunikation (IPC) in Node.js-Umgebungen verwendet wird, ist in dezentrale Anwendungs-Build-Pipelines (dApp), CI/CD-Systeme und Entwicklertools im gesamten Krypto-Ökosystem eingebettet.

Die bösartigen Versionen wurden als Versionen 9.1.6, 9.2.3 und 12.0.1 identifiziert.

Das Paket wird durchschnittlich über 822.000 Mal pro Woche heruntergeladen, was die Angriffsfläche beträchtlich macht. Jede der drei bösartigen Versionen enthält eine identische, 80 KB große, verschleierte Nutzlast, die an das CommonJS-Bundle des Pakets angehängt ist. Der Code wird bedingungslos bei jedem Aufruf von require(‘node-ipc’) ausgelöst, was bedeutet, dass jedes Projekt, das die fehlerhaften Versionen installiert oder auf diese aktualisiert hat, den Stealer automatisch ausführte, ohne dass eine Benutzerinteraktion erforderlich war.

Was die Malware stiehlt

Die eingebettete Nutzlast zielt auf über 90 Kategorien von Entwickler- und Cloud-Anmeldeinformationen ab, darunter Amazon Web Services (AWS)-Tokens, Google Cloud- und Microsoft Azure-Geheimnisse, SSH-Schlüssel, Kubernetes-Konfigurationen, Github-CLI-Tokens und Shell-Verlaufsdateien. Die für den Krypto-Bereich relevante Malware zielt auf .env-Dateien ab, in denen häufig private Schlüssel, RPC-Knoten-Anmeldeinformationen und API-Geheimnisse ausgetauscht werden. Gestohlene Daten werden über DNS-Tunneling herausgefiltert, wobei Dateien über Domain Name System-Abfragen weitergeleitet werden, um Standard-Netzwerküberwachungstools zu umgehen.

Forscher von Stepsecurity bestätigten, dass der Angreifer niemals die ursprüngliche Codebasis von Node-IPC berührt hat. Stattdessen nutzten sie ein ruhendes Betreuerkonto aus, indem sie dessen abgelaufene E-Mail-Domäne erneut registrierten.

Die Domain atlantis-software.net lief am 10. Januar 2025 ab, und der Angreifer registrierte sie am 7. Mai 2026 über Namecheap erneut. Anschließend lösten sie einen Standard-NPM-Passwort-Reset aus und erhielten ohne Wissen des ursprünglichen Betreuers vollen Veröffentlichungszugriff.

Die bösartigen Versionen blieben etwa zwei Stunden lang in der Registrierung aktiv, bevor sie erkannt und entfernt wurden. Jedes Projekt, das in diesem Fenster npm install oder automatisch aktualisierte Abhängigkeiten ausführte, sollte als potenziell gefährdet behandelt werden. Sicherheitsteams haben empfohlen, Sperrdateien für die Versionen 9.1.6, 9.2.3 oder 12.0.1 von Node-IPC sofort zu prüfen und auf die letzte verifizierte saubere Version zurückzusetzen.

Angriffe auf die Lieferkette auf das NPM-Ökosystem sind im Jahr 2026 zu einer anhaltenden Bedrohung geworden, wobei Krypto-Projekte aufgrund des direkten finanziellen Zugangs, den ihre Referenzen bieten können, als hochwertige Ziele dienen.