Node-ipc-Lieferkettenangriff zielt auf Krypto-Entwickler ab

Laut SlowMist wurden am 14. Mai drei manipulierte Versionen von node-ipc im npm-Repository veröffentlicht. Angreifer kaperten ein inaktives Entwicklerkonto und spielten Code ein, der darauf ausgelegt war, Entwicklerzugangsdatendentprivate Schlüssel, API-Geheimnisse und alles Weitere direkt aus .env-Dateien abzugreifen.

node-ipc ist ein beliebtes Node.js-Paket, das es verschiedenen Programmen ermöglicht, auf demselben Rechner oder manchmal auch über ein Netzwerk miteinander zu kommunizieren.

SlowMist fängt die Sicherheitslücke ab

Das Blockchain-Sicherheitsunternehmen SlowMist entdeckte die Sicherheitslücke durch sein Bedrohungsanalysesystem MistEye.

Versionen 9.1.6, 9.2.3 und 12.0.1

MistEye hat drei schädliche Versionen gefunden, darunter:

• Version 9.1.6.
• Version 9.2.3.
• Version 12.0.1.

Alle oben genannten Versionen enthielten die gleiche verschleierte 80 KB große Nutzlast.

Node-ipc übernimmt die Interprozesskommunikation in Node.js. Es ermöglicht Node.js-Programmen im Wesentlichen den Austausch von Nachrichten. Wöchentlich wird es von über 822.000 Nutzern heruntergeladen.

Node-ipc findet in der gesamten Kryptowelt Anwendung. Es wird in den Tools verwendet, die Entwickler zum Erstellen von dApps, in Systemen, diematictesten und bereitstellen (CI/CD), und in alltäglichen Entwicklerwerkzeugen.

Jede infizierte Version enthielt denselben versteckten Schadcode. Sobald ein Programm node-ipc lud, wurde der Codematicausgeführt.

Forscher von StepSecurity haben herausgefunden, wie der Angriff zustande kam. Der ursprüngliche Entwickler von node-ipc hatte eine E-Mail-Adresse, die mit der Domain atlantis-software[.]net verknüpft war. Diese Domain lief jedoch am 10. Januar 2025 ab.

Am 7. Mai 2026 erwarb der Angreifer dieselbe Domain über Namecheap und erlangte so Zugriff auf die alte E-Mail-Adresse des Entwicklers. Anschließend klickte er einfach auf „Passwort vergessen“ bei npm, setzte es zurück und hatte sofort uneingeschränkte Berechtigung, neue Versionen von node-ipc zu veröffentlichen.

Der eigentliche Entwickler hatte keine Ahnung, was da vor sich ging. Die manipulierten Versionen blieben etwa zwei Stunden lang online, bevor sie entfernt wurden.

Der Dieb sucht nach Personen mit einemdent-Score von 90

Die eingebettete Payload sucht nach über 90 Arten von Entwickler- und Cloud-dent. AWS-Tokens, Google Cloud- und Azure-Secrets, SSH-Schlüssel, Kubernetes-Konfigurationen, GitHub-CLI-Tokens – sie alle sind auf der Liste.

Für Krypto-Entwicklerist die Malware besonders anfällig für Angriffe auf .env-Dateien. Diese enthalten üblicherweise private Schlüssel, RPC-Knoten-dentund Geheimnisse der Austausch-API.

Um die gestohlenen Daten unbemerkt zu übertragen, nutzt die Schadsoftware DNS-Tunneling. Dabei werden die Dateien in scheinbar normalen Internet-Anfragen versteckt. Die meisten Netzwerksicherheitstools erkennen dies nicht.

Sicherheitsexperten weisen darauf hin, dass bei allen Projekten, die npm install oder deren Abhängigkeiten automatisch aktualisiert wurden, von einer Kompromittierung auszugehen ist.

Sofortmaßnahmen gemäß den Empfehlungen von SlowMist:

• Überprüfen Sie die Sperrdateien für node-ipc Versionen 9.1.6, 9.2.3 oder 12.0.1.
• Stellen Sie die letzte Version wieder her, von der Sie wissen, dass sie sicher ist.
• Ändern Sie alledent, die möglicherweise durchgesickert sind.

Lieferkettenangriffe auf npm sind im Jahr 2026 an der Tagesordnung. Kryptoprojekte sind besonders stark betroffen, da gestohlene Zugangsdaten schnell in gestohlenes Geld umgewandelt werden können.

Lesen Sie Krypto-News nicht nur, sondern verstehen Sie sie. Abonnieren Sie unseren Newsletter. Er ist kostenlos.