Secondo SlowMist, il 14 maggio sono state pubblicate sul registro npm tre versioni infette di node-ipc. Gli aggressori hanno dirottato un account di manutenzione inattivo e hanno inserito del codice progettato per sottrarre credenziali di sviluppo, chiavi private, segreti delle API di scambio e altro ancora, direttamente dai file .env.
node-ipc è un popolare pacchetto Node.js che permette a diversi programmi di comunicare tra loro sulla stessa macchina, o talvolta attraverso una rete.
SlowMist coglie la falla
L'azienda di sicurezza blockchain SlowMist ha individuato la violazione tramite il suo sistema di intelligence sulle minacce MistEye.
Versioni 9.1.6, 9.2.3 e 12.0.1
MistEye ha individuato tre versioni dannose, tra cui:
- Versione 9.1.6.
- Versione 9.2.3.
- Versione 12.0.1.
Tutte le versioni sopra menzionate contenevano lo stesso payload offuscato di 80 KB.
Node-ipc gestisce la comunicazione tra processi in Node.js. In pratica, aiuta i programmi Node.js a scambiarsi messaggi. Ogni settimana viene scaricato da oltre 822.000 persone.
Node-ipc è ampiamente utilizzato nel mondo delle criptovalute. Viene impiegato negli strumenti che gli sviluppatori usano per creare dApp , nei sistemi che testano e distribuiscono automaticamente il codice (CI/CD) e negli strumenti di sviluppo di uso quotidiano.
Ogni versione infetta conteneva lo stesso codice dannoso nascosto. Nel momento in cui un qualsiasi programma caricava node-ipc, il codice veniva eseguito automaticamente.
I ricercatori di StepSecurity hanno scoperto come è avvenuto l'attacco. Lo sviluppatore originale di node-ipc aveva un indirizzo email associato al dominio atlantis-software[.]net. Tuttavia, il dominio è scaduto il 10 gennaio 2025.
Il 7 maggio 2026, l'attaccante ha acquistato lo stesso dominio tramite Namecheap, ottenendo così il controllo della vecchia email dello sviluppatore. Da lì, è bastato cliccare su "password dimenticata" su npm, reimpostarla e accedere con i permessi completi per pubblicare nuove versioni di node-ipc.
Il vero sviluppatore non aveva la minima idea di cosa stesse succedendo. Le versioni dannose sono rimaste attive per circa due ore prima di essere rimosse.
Il ladro cerca oltre 90 tipi di credenziali
Il payload incorporato cerca oltre 90 tipi di credenziali di sviluppatori e di servizi cloud. Token AWS, segreti di Google Cloud e Azure, chiavi SSH, configurazioni di Kubernetes, token GitHub CLI: sono tutti nella lista.
Per gli sviluppatori di criptovalute , il malware prende di mira in particolare i file .env. Questi file solitamente contengono chiavi private, credenziali dei nodi RPC e segreti delle API degli exchange.
Per far uscire clandestinamente i dati rubati, il payload utilizza il tunneling DNS. In pratica, nasconde i file all'interno di normali richieste di ricerca su Internet. La maggior parte degli strumenti di sicurezza di rete non è in grado di rilevarlo.
I team di sicurezza affermano che qualsiasi progetto che abbia eseguito npm install o abbia aggiornato automaticamente le dipendenze durante quella finestra temporale di due ore dovrebbe essere considerato compromesso.
Misure immediate, secondo le indicazioni di SlowMist:
- Verifica i file di blocco per le versioni 9.1.6, 9.2.3 o 12.0.1 di node-ipc.
- Ripristina l'ultima versione che sai essere sicura.
- Sostituisci tutte le credenziali che potrebbero essere trapelate.
Nel 2026, gli attacchi alla catena di fornitura di npm sono diventati una prassi comune. I progetti crypto sono colpiti più duramente di altri perché le credenziali di accesso rubate possono essere trasformate rapidamente in denaro illecito.
Le menti più brillanti del mondo delle criptovalute leggono già la nostra newsletter. Vuoi unirti a loro ?