Descargas de 822.000 en riesgo: versiones maliciosas de node-ipc detectadas robando claves privadas y de AWS

El 14 de mayo se confirmó que tres versiones maliciosas de node-ipc, una biblioteca fundamental de Node.js utilizada en los procesos de compilación Web3, estaban comprometidas, y la firma de seguridad Slowmist advirtió que los desarrolladores de cifrado que dependen del paquete enfrentan un riesgo inmediato de robo de credenciales.

Conclusiones clave:

Slowmist detectó tres versiones maliciosas de node-ipc el 14 de mayo, apuntando a más de 822.000 descargas semanales de npm.

La carga útil de 80 KB roba más de 90 categorías de credenciales, incluidas claves de AWS y archivos .env a través de un túnel DNS.

Los desarrolladores deben anclar inmediatamente para limpiar las versiones de node-ipc y rotar todos los secretos potencialmente expuestos.

Secretos de los desarrolladores en juego

La empresa de seguridad blockchain Slowmist señaló el ataque a través de su sistema de inteligencia de amenazas Misteye, identificando tres versiones no autorizadas, a saber, las versiones 9.1.6, 9.2.3 y 12.0.1. El paquete node-ipc, utilizado para habilitar la comunicación entre procesos (IPC) en entornos Node.js, está integrado en canales de creación de aplicaciones descentralizadas (dApp), sistemas CI/CD y herramientas de desarrollo en todo el ecosistema criptográfico.

Las versiones maliciosas se identificaron como versiones 9.1.6, 9.2.3 y 12.0.1.

El paquete tiene un promedio de más de 822.000 descargas semanales, lo que hace que la superficie de ataque sea sustancial. Cada una de las tres versiones maliciosas lleva una carga útil ofuscada idéntica de 80 KB adjunta al paquete CommonJS del paquete. El código se activa incondicionalmente en cada llamada require('node-ipc'), lo que significa que cualquier proyecto que instaló o actualizó las versiones contaminadas ejecutó el ladrón automáticamente, sin necesidad de interacción del usuario.

Lo que roba el malware

La carga útil integrada se dirige a más de 90 categorías de credenciales de desarrollador y de nube, incluidos tokens de Amazon Web Services (AWS), secretos de Google Cloud y Microsoft Azure, claves SSH, configuraciones de Kubernetes, tokens CLI de Github y archivos de historial de shell. Pertinente para el espacio criptográfico, el malware se dirige a archivos .env, que con frecuencia almacenan claves privadas, credenciales de nodos RPC e intercambian secretos de API. Los datos robados se filtran a través de túneles DNS, enrutando archivos a través de consultas del Sistema de nombres de dominio para evadir las herramientas de monitoreo de red estándar.

Los investigadores de Stepsecurity confirmaron que el atacante nunca tocó el código base original de node-ipc. En lugar de ello, explotaron una cuenta de mantenedor inactiva volviendo a registrar su dominio de correo electrónico caducado.

El dominio atlantis-software.net expiró el 10 de enero de 2025, y el atacante lo volvió a registrar a través de Namecheap el 7 de mayo de 2026. Luego activaron un restablecimiento de contraseña npm estándar, obteniendo acceso completo a la publicación sin el conocimiento del mantenedor original.

Las versiones maliciosas permanecieron activas en el registro durante aproximadamente dos horas antes de ser detectadas y eliminadas. Cualquier proyecto que haya ejecutado npm install o haya actualizado automáticamente dependencias durante esa ventana debe tratarse como potencialmente comprometido. Los equipos de seguridad recomendaron auditar los archivos de bloqueo de inmediato para las versiones 9.1.6, 9.2.3 o 12.0.1 de node-ipc y retroceder a la última versión limpia verificada.

Los ataques a la cadena de suministro al ecosistema npm se han convertido en una amenaza persistente en 2026, y los proyectos criptográficos sirven como objetivos de alto valor debido al acceso financiero directo que pueden proporcionar sus credenciales.