Auf den Punkt: Drei Versionen des beliebten Node-IPC-npm-Pakets wurden mit Stealer-Malware infiziert, die bis zu 90 Kategorien von Entwickler- und Cloud-Geheimnissen stiehlt. Die kompromittierten Versionen wurden von einem nicht autorisierten Konto veröffentlicht und exfiltrieren Daten an externe C2-Server.
Cybersicherheitsexperten warnen vor böswilliger Aktivität in kürzlich veröffentlichten Versionen des Node-IPC-Pakets. Socket und StepSecurity haben bestätigt, dass drei npm-Versionen mit Stealer- und Backdoor-Malware infiziert sind, die versuchen, sensible Zugangsdaten von Entwicklern zu stehlen.
Die drei betroffenen Versionen – node-ipc@9.1.23, node-ipc@9.2.3 und node-ipc@12.0.1 – zeigen stark verschleierte Stealer- und Backdoor-Funktionen. Die Malware fingerabdrückt die Host-Umgebung, enumeriert und liest lokale Dateien, komprimiert und fragmentiert die gesammelten Daten und versucht dann, die in eine kryptografische Umhüllung verpackte Nutzlast an einen Netzwerk-Endpunkt zu exfiltrieren.
Nach Angaben von StepSecurity wird die stark verschleierte Nutzlast beim Import des Pakets zur Laufzeit aktiviert. Sie versucht dann, eine breite Palette von Entwickler- und Cloud-Anmeldedaten zu stehlen. Dazu gehören 90 Kategorien von Geheimnissen wie AWS-, Google Cloud- und Azure-Anmeldedaten, SSH-Schlüssel, Kubernetes-Token, GitHub-CLI-Konfigurationen, Claude-AI- und Kiro-IDE-Einstellungen, Terraform-Zustandsdateien, Datenbankpasswörter und Shell-Verlauf.
Die gesammelten Daten werden in ein GZIP-Archiv komprimiert und an einen externen Command-and-Control-Server (C2) übertragen. Die drei Versionen wurden von einem Konto namens „atiertant” unter der Domain „.net” veröffentlicht, das keine Verbindung zum ursprünglichen Paketautor „riaevangelist” hat.