822 тыс. загрузок под угрозой: обнаружены вредоносные версии node-ipc, ворующие AWS и закрытые ключи

14 мая было подтверждено, что три вредоносные версии node-ipc, базовой библиотеки Node.js, используемой в конвейерах сборки Web3, были скомпрометированы, а охранная фирма Slowmist предупредила, что разработчики криптовалют, полагающиеся на этот пакет, сталкиваются с немедленным риском кражи учетных данных.

Ключевые выводы:

14 мая Slowmist отметил три вредоносные версии Node-IPC, которые еженедельно загрузили более 822 000 npm.

Полезная нагрузка размером 80 КБ похищает более 90 категорий учетных данных, включая ключи AWS и файлы .env, через туннелирование DNS.

Разработчики должны немедленно очистить версии node-ipc и заменить все потенциально раскрытые секреты.

На кону секреты разработчиков

Компания Slowmist, занимающаяся безопасностью блокчейнов, зарегистрировала атаку через свою систему анализа угроз Misteye, идентифицировав три мошеннических выпуска, а именно версии 9.1.6, 9.2.3 и 12.0.1. Пакет node-ipc, используемый для обеспечения межпроцессного взаимодействия (IPC) в средах Node.js, встроен в конвейеры сборки децентрализованных приложений (dApp), системы CI/CD и инструменты разработчика во всей криптоэкосистеме.

Вредоносные выпуски были идентифицированы как версии 9.1.6, 9.2.3 и 12.0.1.

В среднем пакет загружают более 822 000 раз в неделю, что делает поверхность атаки существенной. Каждая из трех вредоносных версий несет идентичную замаскированную полезную нагрузку размером 80 КБ, добавленную к пакету CommonJS пакета. Код срабатывает безоговорочно при каждом вызове require('node-ipc'), что означает, что любой проект, в котором были установлены или обновлены испорченные выпуски, запускал кражу автоматически, без необходимости взаимодействия с пользователем.

Что крадет вредоносное ПО

Встроенная полезная нагрузка предназначена для более чем 90 категорий учетных данных разработчиков и облака, включая токены Amazon Web Services (AWS), секреты Google Cloud и Microsoft Azure, ключи SSH, конфигурации Kubernetes, токены Github CLI и файлы истории оболочки. Что касается криптопространства, вредоносная программа нацелена на файлы .env, которые часто хранят закрытые ключи, учетные данные узла RPC и обмениваются секретами API. Украденные данные передаются через DNS-туннелирование, маршрутизация файлов с помощью запросов системы доменных имен позволяет обойти стандартные инструменты мониторинга сети.

Исследователи из Stepsecurity подтвердили, что злоумышленник никогда не трогал исходную кодовую базу node-ipc. Вместо этого они воспользовались недействующей учетной записью сопровождающего, перерегистрировав ее домен электронной почты с истекшим сроком действия.

Срок действия домена atlantis-software.net истек 10 января 2025 года, и злоумышленник перерегистрировал его через Namecheap 7 мая 2026 года. Затем они инициировали стандартный сброс пароля npm, получив полный доступ к публикации без ведома первоначального сопровождающего.

Вредоносные версии оставались в реестре примерно два часа, прежде чем были обнаружены и удалены. Любой проект, в котором в течение этого окна выполнялась установка npm или автоматически обновлялись зависимости, следует рассматривать как потенциально скомпрометированный. Группы безопасности рекомендовали немедленно провести аудит файлов блокировки для версий 9.1.6, 9.2.3 или 12.0.1 node-ipc и выполнить откат к последней проверенной чистой версии.

Атаки цепочки поставок на экосистему npm стали постоянной угрозой в 2026 году, при этом криптопроекты становятся ценными целями из-за прямого финансового доступа, который могут обеспечить их учетные данные.