L'attaque de la chaîne d'approvisionnement Node-IPC cible les développeurs de cryptographie

Selon SlowMist, trois versions empoisonnées de node-ipc ont été mises en ligne sur le registre npm le 14 mai. Les attaquants ont détourné un compte dormant du responsable et poussé du code conçu pour siphonner les informations d'identification des développeurs, les clés privées, échanger les secrets de l'API, etc., directement à partir des fichiers .env.

node-ipc est un package Node.js populaire qui permet à différents programmes de communiquer entre eux sur la même machine, ou parfois sur un réseau.

SlowMist rattrape la brèche

La société de sécurité Blockchain SlowMist a repéré la faille grâce à son système de renseignements sur les menaces MistEye.

Versions 9.1.6, 9.2.3 et 12.0.1

MistEye a trouvé trois versions malveillantes, notamment :

Version 9.1.6.

Version 9.2.3.

Version 12.0.1.

Toutes les versions ci-dessus transportaient la même charge utile masquée de 80 Ko.

Node-ipc gère la communication inter-processus dans Node.js. Cela aide essentiellement les programmes Node.js à envoyer des messages dans les deux sens. Plus de 822 000 personnes le téléchargent chaque semaine.

Node-ipc est utilisé dans tout l’espace cryptographique. Il est utilisé dans les outils que les développeurs utilisent pour créer des dApps, dans les systèmes qui testent et déploient automatiquement le code (CI/CD) et dans les outils de développement quotidiens.

Chaque version infectée contenait le même code malveillant caché. Dès qu’un programme chargeait node-ipc, le code s’exécutait automatiquement.

Capture d'écran de MistyEye montrant des packages node-ipc malveillants. Source : SlowMist via X.

Les chercheurs de StepSecurity ont découvert comment l'attaque s'est produite. Le développeur d'origine de node-ipc avait une adresse e-mail liée au domaine atlantis-software[.]net. Cependant, le domaine a expiré le 10 janvier 2025.

Le 7 mai 2026, l’attaquant a acheté le même domaine via Namecheap, ce qui lui a donné le contrôle de l’ancienne messagerie du développeur. À partir de là, ils ont simplement cliqué sur « mot de passe oublié » sur npm, l'ont réinitialisé et sont entrés directement avec l'autorisation complète pour publier de nouvelles versions de node-ipc.

Le véritable développeur n’avait aucune idée de ce qui se passait. Les versions malveillantes sont restées actives pendant environ deux heures avant d’être supprimées.

Le voleur recherche plus de 90 types d'informations d'identification

La charge utile intégrée recherche plus de 90 types d’informations d’identification de développeur et de cloud. Jetons AWS, secrets Google Cloud et Azure, clés SSH, configurations Kubernetes, jetons CLI GitHub, tous sur la liste.

Pour les développeurs de crypto, le malware attaque spécifiquement les fichiers .env. Ceux-ci détiennent généralement des clés privées, des informations d’identification de nœud RPC et échangent des secrets d’API.

Pour extraire les données volées, la charge utile utilise le tunneling DNS. Il cache essentiellement les fichiers dans des requêtes de recherche Internet d’apparence normale. La plupart des outils de sécurité réseau ne détectent pas cela.

Les équipes de sécurité affirment que tout projet exécutant npm install ou comportant des dépendances mises à jour automatiquement au cours de cette fenêtre de deux heures devrait être compromis.

Étapes immédiates, selon les conseils de SlowMist :

Vérifiez les fichiers de verrouillage pour les versions node-ipc 9.1.6, 9.2.3 ou 12.0.1.

Revenez à la dernière version dont vous savez qu'elle est sûre.

Modifiez tous les identifiants qui auraient pu fuir.

Les attaques de la chaîne d'approvisionnement contre NPM sont devenues monnaie courante en 2026. Les projets de cryptographie sont plus durement touchés que la plupart, car les connexions volées peuvent être rapidement transformées en argent volé.