Cryptonews

El ataque a la cadena de suministro de Node-ipc tiene como objetivo a los desarrolladores de criptomonedas

Source
CryptoNewsTrend
Published
El ataque a la cadena de suministro de Node-ipc tiene como objetivo a los desarrolladores de criptomonedas

Según SlowMist, tres versiones envenenadas de node-ipc se activaron en el registro npm el 14 de mayo. Los atacantes secuestraron una cuenta de mantenimiento inactiva y enviaron código diseñado para desviar credenciales de desarrollador, claves privadas, intercambiar secretos de API y todo, directamente de archivos .env.

node-ipc es un paquete popular de Node.js que permite que diferentes programas se comuniquen entre sí en la misma máquina o, a veces, a través de una red.

SlowMist atrapa la brecha

La empresa de seguridad blockchain, SlowMist, detectó la violación a través de su sistema de inteligencia de amenazas MistEye.

Versiones 9.1.6, 9.2.3 y 12.0.1

MistEye encontró tres versiones maliciosas que incluyen:

Versión 9.1.6.

Versión 9.2.3.

Versión 12.0.1.

Todas las versiones anteriores llevaban la misma carga útil ofuscada de 80 KB.

Node-ipc maneja la comunicación entre procesos en Node.js. Básicamente, ayuda a los programas Node.js a enviar mensajes de un lado a otro. Más de 822.000 personas lo descargan cada semana.

Node-ipc se utiliza en todo el espacio criptográfico. Se utiliza en las herramientas que utilizan los desarrolladores para crear dApps, en los sistemas que prueban e implementan código automáticamente (CI/CD) y en las herramientas de desarrollo cotidianas.

Cada versión infectada tenía el mismo código malicioso oculto adjunto. En el momento en que cualquier programa cargaba node-ipc, el código se ejecutaba automáticamente.

Captura de pantalla de MistyEye que muestra paquetes node-ipc maliciosos. Fuente: SlowMist vía X.

Los investigadores de StepSecurity descubrieron cómo ocurrió el ataque. El desarrollador original de node-ipc tenía una dirección de correo electrónico vinculada al dominio atlantis-software[.]net. Sin embargo, el dominio expiró el 10 de enero de 2025.

El 7 de mayo de 2026, el atacante compró el mismo dominio a través de Namecheap, lo que le dio el control del antiguo correo electrónico del desarrollador. A partir de ahí, simplemente presionaron "olvidé mi contraseña" en npm, la restableceron y entraron con permiso total para publicar nuevas versiones de node-ipc.

El verdadero desarrollador no tenía idea de que esto estaba sucediendo. Las versiones maliciosas permanecieron activas durante aproximadamente dos horas antes de ser eliminadas.

El ladrón busca más de 90 tipos de credenciales

La carga útil integrada busca más de 90 tipos de credenciales de desarrollador y de nube. Tokens de AWS, secretos de Google Cloud y Azure, claves SSH, configuraciones de Kubernetes, tokens CLI de GitHub, todos en la lista.

Para los desarrolladores de criptomonedas, el malware ataca específicamente archivos .env. Por lo general, contienen claves privadas, credenciales de nodo RPC e intercambian secretos de API.

Para ocultar los datos robados, la carga útil utiliza un túnel DNS. Básicamente, oculta los archivos dentro de solicitudes de búsqueda en Internet de aspecto normal. La mayoría de las herramientas de seguridad de red no detectan eso.

Los equipos de seguridad dicen que cualquier proyecto que ejecute npm install o tenga dependencias actualizadas automáticamente durante ese período de dos horas debería asumir un compromiso.

Pasos inmediatos, según las instrucciones de SlowMist:

Verifique los archivos de bloqueo para las versiones de node-ipc 9.1.6, 9.2.3 o 12.0.1.

Vuelve a la última versión que sabes que es segura.

Cambie todas las credenciales que puedan haberse filtrado.

Los ataques a la cadena de suministro contra npm se han convertido en algo habitual en 2026. Los proyectos criptográficos se ven más afectados que la mayoría porque los inicios de sesión robados pueden convertirse rápidamente en dinero robado.