Атака на ланцюг постачання Node-ipc націлена на розробників криптовалют

14 травня три зашумлені версії пакету node-ipc з'явилися в реєстрі npm, за інформацією компанії SlowMist.

Зловмисники отримали доступ до неактивного акаунту розробника та завантажили код, призначений для вкрадання облікових даних розробників, приватних ключів та секретів API обмінників безпосередньо з файлів .env. Node-ipc — популярний пакет для Node.js, що дозволяє програмам спілкуватися одна з одною на одній машині або в мережі.

SlowMist виявила витік через свою систему загроз MistEye, ідентифікувавши три шкідливі версії: 9.1.6, 9.2.3 та 12.0.1, що містили один і той самий зашифрований 80 КБ код. Кожна заражена версія запускала шкідливий код автоматично, щойно було завантажено node-ipc.

Фахівці з StepSecurity з'ясували, що зловмисник придбав домен, пов'язаний з обліковим записом оригінального розробника, і через це отримав доступ до його електронної пошти, що дозволило скинути пароль на npm. Зловмисні версії перебували в мережі близько двох годин перед видаленням.

Вбудований шкідливий код шукає понад 90 типів облікових даних, враховуючи токени AWS, секрети Google Cloud та Azure, SSH ключі і специфічно для крипто-розробників, доступи з .env файлів. Для передачі викрадених даних код використовує DNS-тунелювання.

Більшість засобів мережевої безпеки не можуть виявити цей процес.

Фахівці радять проектам, які користувалися npm install або автоматично оновлювали залежності в цей двогодинний проміжок, вважати, що їх система могла бути скомпрометована. Необхідно терміново перевірити файли блокувань на наявність версій 9.1.6, 9.2.3 або 12.0.1, повернутися до останньої безпечної версії та змінити всі можливо скомпрометовані облікові дані.

Атаки на ланцюг постачання в npm стають звичним явищем у 2026 році, причому проекти в сфері криптовалют потерпають найбільше через швидкість, з якою викрадені дані можуть бути використані для фінансових злочинів.