Auf den Punkt: Drei Versionen des npm-Pakets node-ipc (9.1.23, 9.2.3, 10.1.1) enthalten Malware, die beim Laden des Pakets Entwickler- und Cloud-Zugangsdaten stiehlt und an einen C2-Server übermittelt. Das Schadprogramm zielt auf über 90 Kategorien von Anmeldeinformationen ab.
Sicherheitsexperten warnen vor bösartiger Aktivität in aktuellen Versionen des npm-Pakets node-ipc. Die Versionen 9.1.23, 9.2.3 und 10.1.1 enthalten verschleierte Stealer- und Backdoor-Funktionalität, die Entwickler-Zugangsdaten abzweigen soll.
Cybersicherheitsexperten haben vor Malware in kürzlich veröffentlichten Versionen des node-ipc-Pakets gewarnt. Die Sicherheitsunternehmen Socket und StepSecurity identifizierten die drei npm-Paketversionen 9.1.23, 9.2.3 und 10.1.1 als bösartig. Nach vorläufiger Analyse enthält die Malware verdeckte Stealer- und Backdoor-Funktionen.
Das Schadprogramm erfasst die Host-Umgebung, zählt lokale Dateien auf und liest diese aus, komprimiert die gesammelten Daten, verschlüsselt die Nutzlast und versucht, diese über einen Netzwerk-Endpunkt exfiltriert, der durch DNS- oder adressbasierte Logik ausgewählt wird. StepSecurity berichtet, dass die stark verschleierte Nutzlast bei der Laufzeit-Paketimportation aktiviert wird und anschließend versucht, eine breite Palette von Entwickler- und Cloud-Zugangsdaten zu stehlen und an einen externen Command-and-Control-Server (C2) zu übertragen.
Die Daten umfassen Anmeldeinformationen in 90 Kategorien, darunter Amazon Web Services, Google Cloud, Microsoft Azure, SSH-Schlüssel, Kubernetes-Token, GitHub-CLI-Konfigurationen, Claude-AI- und Kiro-IDE-Einstellungen, Terraform-Statusdateien, Datenbankpasswörter und Shell-Verlauf. Die erfassten Daten werden in ein GZIP-Archiv komprimiert und an die Domain „sh.azurestaticprovider[.]net” gesendet.
Die drei Versionen wurden von einem Konto namens „atiertant” veröffentlicht, das keine Verbindung zum ursprünglichen Paketautor „riaevangelist” hat.