Node-IPC-Supply-Chain-Angriff zielt auf Krypto-Entwickler ab

Laut SlowMist gingen am 14. Mai drei vergiftete Versionen von node-ipc in der npm-Registrierung in Betrieb. Angreifer kaperten ein ruhendes Betreuerkonto und schob Code ein, der darauf ausgelegt war, Entwickleranmeldeinformationen, private Schlüssel, den Austausch von API-Geheimnissen usw. direkt aus .env-Dateien abzugreifen.

node-ipc ist ein beliebtes Node.js-Paket, mit dem verschiedene Programme auf demselben Computer oder manchmal über ein Netzwerk miteinander kommunizieren können.

SlowMist fängt die Lücke

Das Blockchain-Sicherheitsunternehmen SlowMist hat den Verstoß über sein Bedrohungsinformationssystem MistEye entdeckt.

Versionen 9.1.6, 9.2.3 und 12.0.1

MistEye hat drei bösartige Versionen gefunden, darunter:

Version 9.1.6.

Version 9.2.3.

Version 12.0.1.

Alle oben genannten Versionen trugen die gleiche verschleierte Nutzlast von 80 KB.

Node-ipc übernimmt die prozessübergreifende Kommunikation in Node.js. Im Grunde hilft es Node.js-Programmen, Nachrichten hin und her zu senden. Über 822.000 Menschen laden es jede Woche herunter.

Node-IPC wird im gesamten Kryptoraum verwendet. Es wird in den Tools verwendet, die Entwickler zum Erstellen von dApps verwenden, in den Systemen, die Code automatisch testen und bereitstellen (CI/CD), und in alltäglichen Entwicklertools.

In jede infizierte Version war derselbe versteckte Schadcode eingeschraubt. Sobald ein Programm node-ipc lud, wurde der Code automatisch ausgeführt.

Screenshot von MistyEye, der bösartige Node-IPC-Pakete zeigt. Quelle: SlowMist über X.

Forscher von StepSecurity haben herausgefunden, wie es zu dem Angriff kam. Der ursprüngliche Entwickler von node-ipc hatte eine E-Mail-Adresse, die mit der Domäne atlantis-software[.]net verknüpft war. Die Domain ist jedoch am 10. Januar 2025 abgelaufen.

Am 7. Mai 2026 kaufte der Angreifer dieselbe Domain über Namecheap und erlangte dadurch die Kontrolle über die alte E-Mail des Entwicklers. Von dort aus klickten sie einfach auf „Passwort vergessen“ auf npm, setzten es zurück und erhielten sofort die volle Erlaubnis, neue Versionen von node-ipc zu veröffentlichen.

Der eigentliche Entwickler hatte keine Ahnung, dass irgendetwas davon passierte. Die bösartigen Versionen blieben etwa zwei Stunden lang aktiv, bevor sie entfernt wurden.

Der Diebstahler sucht nach über 90 Anmeldeinformationstypen

Die eingebettete Nutzlast sucht nach über 90 Arten von Entwickler- und Cloud-Anmeldeinformationen. AWS-Tokens, Google Cloud- und Azure-Geheimnisse, SSH-Schlüssel, Kubernetes-Konfigurationen, GitHub-CLI-Tokens, alles auf der Liste.

Für Krypto-Entwickler plündert die Malware insbesondere .env-Dateien. Diese enthalten normalerweise private Schlüssel, RPC-Knoten-Anmeldeinformationen und Austausch-API-Geheimnisse.

Um die gestohlenen Daten herauszuschleichen, nutzt die Nutzlast DNS-Tunneling. Im Grunde werden die Dateien in normal aussehenden Internet-Suchanfragen ausgeblendet. Die meisten Netzwerksicherheitstools erkennen das nicht.

Sicherheitsteams sagen, dass jedes Projekt, bei dem in diesem zweistündigen Fenster npm install ausgeführt wurde oder automatisch aktualisierte Abhängigkeiten auftraten, von einer Kompromittierung ausgehen sollte.

Sofortige Schritte gemäß der Anleitung von SlowMist:

Überprüfen Sie die Sperrdateien für die Node-IPC-Versionen 9.1.6, 9.2.3 oder 12.0.1.

Gehen Sie auf die letzte Version zurück, von der Sie wissen, dass sie sicher ist.

Ändern Sie alle Anmeldeinformationen, die möglicherweise durchgesickert sind.

Angriffe auf die Lieferkette auf npm sind im Jahr 2026 an der Tagesordnung. Krypto-Projekte sind stärker betroffen als die meisten anderen, da gestohlene Logins schnell in gestohlenes Geld umgewandelt werden können.