822 000 téléchargements menacés : des versions malveillantes de node-ipc repérées en train de voler des clés AWS et privées
Trois versions malveillantes de node-ipc, une bibliothèque Node.js fondamentale utilisée dans les pipelines de construction Web3, ont été confirmées compromises le 14 mai, la société de sécurité Slowmist avertissant que les développeurs de cryptographie qui s'appuient sur le package sont confrontés à un risque immédiat de vol d'informations d'identification.
Points clés à retenir :
Slowmist a signalé trois versions malveillantes de node-ipc le 14 mai, ciblant plus de 822 000 téléchargements hebdomadaires de npm.
La charge utile de 80 Ko vole plus de 90 catégories d'informations d'identification, y compris les clés AWS et les fichiers .env via le tunneling DNS.
Les développeurs doivent immédiatement épingler les versions de nœud-ipc propres et alterner tous les secrets potentiellement exposés.
Les secrets des développeurs en jeu
La société de sécurité Blockchain Slowmist a signalé l'attaque via son système de renseignement sur les menaces Misteye, identifiant trois versions malveillantes, à savoir les versions 9.1.6, 9.2.3 et 12.0.1. Le package node-ipc, utilisé pour activer la communication inter-processus (IPC) dans les environnements Node.js, est intégré dans les pipelines de construction d'applications décentralisées (dApp), les systèmes CI/CD et les outils de développement dans tout l'écosystème cryptographique.
Les versions malveillantes ont été identifiées comme étant les versions 9.1.6, 9.2.3 et 12.0.1.
Le package compte en moyenne plus de 822 000 téléchargements hebdomadaires, ce qui rend la surface d'attaque importante. Chacune des trois versions malveillantes contient une charge utile obscurcie identique de 80 Ko ajoutée au bundle CommonJS du package. Le code se déclenche sans condition à chaque appel require('node-ipc'), ce qui signifie que tout projet ayant installé ou mis à jour les versions corrompues a exécuté le voleur automatiquement, sans aucune intervention de l'utilisateur nécessaire.
Ce que vole le logiciel malveillant
La charge utile intégrée cible plus de 90 catégories d'informations d'identification de développeur et de cloud, notamment les jetons Amazon Web Services (AWS), les secrets Google Cloud et Microsoft Azure, les clés SSH, les configurations Kubernetes, les jetons CLI Github et les fichiers d'historique du shell. En rapport avec l'espace cryptographique, le malware cible les fichiers .env, qui stockent fréquemment des clés privées, des informations d'identification de nœud RPC et échangent des secrets d'API. Les données volées sont exfiltrées via le tunneling DNS, acheminant les fichiers via des requêtes du système de noms de domaine pour échapper aux outils standard de surveillance du réseau.
Les chercheurs de Stepsecurity ont confirmé que l’attaquant n’avait jamais touché à la base de code originale de node-ipc. Au lieu de cela, ils ont exploité un compte de responsable dormant en réenregistrant son domaine de messagerie expiré.
Le domaine atlantis-software.net a expiré le 10 janvier 2025, et l'attaquant l'a réenregistré via Namecheap le 7 mai 2026. Ils ont ensuite déclenché une réinitialisation du mot de passe npm standard, obtenant un accès de publication complet à l'insu du responsable d'origine.
Les versions malveillantes sont restées actives dans le registre pendant environ deux heures avant d'être détectées et supprimées. Tout projet qui a exécuté npm install ou des dépendances mises à jour automatiquement pendant cette fenêtre doit être traité comme potentiellement compromis. Les équipes de sécurité ont recommandé d'auditer immédiatement les fichiers de verrouillage pour les versions 9.1.6, 9.2.3 ou 12.0.1 de node-ipc et de revenir à la dernière version propre vérifiée.
Les attaques de la chaîne d'approvisionnement contre l'écosystème NPM sont devenues une menace persistante en 2026, les projets de cryptographie servant de cibles de grande valeur en raison de l'accès financier direct que leurs informations d'identification peuvent fournir.