Auf den Punkt: Das npm-Paket node-ipc wurde mit Credential-Stealing-Malware kompromittiert. Die manipulierten Versionen 9.1.6, 9.2.3 und 12.0.1 stehlen Cloud-Anmeldedaten, SSH-Schlüssel und sensible Dateien über DNS-Exfiltration. Ein gehacktes Warterkonto ist die wahrscheinliche Ursache.
Hacker haben eine weit verbreitete Node.js-Bibliothek für Inter-Prozess-Kommunikation mit Credential-Stealing-Malware infiziert. Die manipulierten Versionen des npm-Pakets node-ipc wurden von mehreren Sicherheitsfirmen identifiziert und stellen eine neue Bedrohung für die Supply-Chain dar.
Das npm-Paket node-ipc, das von über 690.000 Entwicklern wöchentlich heruntergeladen wird, ist Ziel einer neuen Supply-Chain-Attacke geworden. Die Sicherheitsfirmen Socket, Ox Security und Upwind haben die drei manipulierten Versionen 9.1.6, 9.2.3 und 12.0.1 identifiziert. Die Malware versteckt sich im CommonJS-Einstiegspunkt des Pakets und wird automatisch ausgeführt, wenn Anwendungen geladen werden.
Der schädliche Code ist stark verschleiert und fingerabdrückt das infizierte System. Er sammelt Umgebungsvariablen und sensible lokale Dateien, komprimiert die gestohlenen Informationen und exfiltriert sie über DNS-TXT-Anfragen. Die Malware zielt speziell auf Cloud-Anmeldedaten ab – einschließlich Zugangsdaten für AWS, Azure, GCP, OCI und DigitalOcean – sowie SSH-Schlüssel, Konfigurationsdateien und Konfigurationen für Kubernetes, Docker, Helm und Terraform.
Forscher gehen davon aus, dass ein externer Angreifer das Benutzerkonto eines inaktiven Maintainers namens „atiertant” kompromittiert hat. Dies ist nicht die erste böswillige Manipulation des Pakets: Der ursprüngliche Maintainer hatte bereits im März 2022 vergiftete Versionen mit Malware veröffentlicht, die gezielt Systeme in Russland und Belarus mit einer Daten-Lösch-Nutzlast angriff, um gegen die Invasion in der Ukraine zu protestieren.