Атака на цепочку поставок Node-IPC нацелена на разработчиков криптовалют
По данным SlowMist, 14 мая в реестре npm появились три отравленные версии node-ipc. Злоумышленники захватили бездействующую учетную запись сопровождающего и внедрили код, предназначенный для перехвата учетных данных разработчика, закрытых ключей, секретов API обмена и других работ прямо из файлов .env.
node-ipc — популярный пакет Node.js, который позволяет различным программам взаимодействовать друг с другом на одном компьютере, а иногда и по сети.
SlowMist обнаруживает нарушение
Фирма SlowMist, занимающаяся безопасностью блокчейнов, обнаружила нарушение через свою систему сбора данных об угрозах MistEye.
Версии 9.1.6, 9.2.3 и 12.0.1.
MistEye обнаружил три вредоносные версии, в том числе:
Версия 9.1.6.
Версия 9.2.3.
Версия 12.0.1.
Все вышеперечисленные версии содержали одну и ту же запутанную полезную нагрузку размером 80 КБ.
Node-ipc обеспечивает межпроцессное взаимодействие в Node.js. По сути, это помогает программам Node.js отправлять сообщения туда и обратно. Каждую неделю его скачивают более 822 000 человек.
Node-ipc используется во всем криптопространстве. Он используется в инструментах, которые разработчики используют для создания dApps, в системах автоматического тестирования и развертывания кода (CI/CD), а также в повседневных инструментах разработчиков.
К каждой зараженной версии был прикреплен один и тот же скрытый вредоносный код. В тот момент, когда какая-либо программа загружала node-ipc, код запускался автоматически.
Снимок экрана с сайта MistyEye, показывающий вредоносные пакеты node-ipc. Источник: SlowMist через X.
Исследователи StepSecurity выяснили, как произошла атака. Первоначальный разработчик node-ipc имел адрес электронной почты, привязанный к домену atlantis-software[.]net. Однако срок действия домена истек 10 января 2025 года.
7 мая 2026 года злоумышленник купил тот же домен через Namecheap, что дало ему контроль над старой электронной почтой разработчика. После этого они просто нажали «забыли пароль» в npm, сбросили его и сразу же вошли с полным разрешением на публикацию новых версий node-ipc.
Настоящий разработчик понятия не имел, что что-то из этого происходит. Вредоносные версии оставались активными около двух часов, прежде чем были удалены.
Вор ищет более 90 типов учетных данных
Встроенная полезная нагрузка ищет более 90 типов учетных данных разработчиков и облачных данных. Токены AWS, секреты Google Cloud и Azure, ключи SSH, конфигурации Kubernetes, токены GitHub CLI — все в списке.
Для разработчиков криптовалют вредоносное ПО специально атакует файлы .env. Обычно они содержат закрытые ключи, учетные данные узла RPC и секреты API обмена.
Чтобы украсть украденные данные, полезная нагрузка использует туннелирование DNS. По сути, он скрывает файлы внутри обычных запросов поиска в Интернете. Большинство инструментов сетевой безопасности этого не распознают.
Команды безопасности заявляют, что любой проект, в котором выполнялась установка npm или имели автоматически обновляемые зависимости в течение этого двухчасового окна, должен подвергнуться компрометации.
Непосредственные действия, согласно рекомендациям SlowMist:
Проверьте файлы блокировки для node-ipc версий 9.1.6, 9.2.3 или 12.0.1.
Откатитесь к последней версии, которая, как вы знаете, безопасна.
Измените все учетные данные, которые могли быть утекли.
Атаки на npm в цепочке поставок стали обычным явлением в 2026 году. Криптопроекты страдают сильнее, чем большинство других, потому что украденные логины можно быстро превратить в украденные деньги.