Ataque à cadeia de suprimentos Node-ipc tem como alvo desenvolvedores de criptomoedas
Segundo a SlowMist, três versões infectadas do node-ipc foram publicadas no registro npm em 14 de maio. Os atacantes sequestraram uma conta de mantenedor inativa e enviaram um código projetado para extrairdent, chaves privadas, segredos de API de troca de dados e muito mais, diretamente de arquivos .env.
node-ipc é um pacote popular do Node.js que permite que diferentes programas se comuniquem entre si na mesma máquina ou, às vezes, através de uma rede.
SlowMist intercepta a brecha
A empresa de segurança blockchain SlowMist detectou a violação por meio de seu sistema de inteligência de ameaças MistEye.
Versões 9.1.6, 9.2.3 e 12.0.1
O MistEye encontrou três versões maliciosas, incluindo:
- Versão 9.1.6.
- Versão 9.2.3.
- Versão 12.0.1.
Todas as versões acima continham a mesma carga útil ofuscada de 80 KB.
O Node-ipc gerencia a comunicação entre processos no Node.js. Basicamente, ele ajuda os programas Node.js a enviar e receber mensagens. Mais de 822.000 pessoas o baixam a cada semana.
O Node-ipc é usado em todo o espaço criptográfico. Ele está presente nas ferramentas que os desenvolvedores usam para criar dApps, nos sistemas quematic(CI/CD) e nas ferramentas de desenvolvimento do dia a dia.
Cada versão infectada tinha o mesmo código malicioso oculto inserido. No momento em que qualquer programa carregava o node-ipc, o código era executadomatic.
Pesquisadores da StepSecurity descobriram como o ataque aconteceu. O desenvolvedor original do node-ipc tinha um endereço de e-mail vinculado ao domínio atlantis-software[.]net. No entanto, o domínio expirou em 10 de janeiro de 2025.
Em 7 de maio de 2026, o atacante comprou o mesmo domínio através da Namecheap, o que lhe deu controle sobre o antigo e-mail do desenvolvedor. A partir daí, ele simplesmente clicou em "esqueci minha senha" no npm, redefiniu a senha e entrou com permissão total para publicar novas versões do node-ipc.
O desenvolvedor original não tinha ideia de que nada disso estava acontecendo. As versões maliciosas permaneceram online por cerca de duas horas antes de serem removidas.
O ladrão procura por tipos dedentacima de 90
A carga útil incorporada busca mais de 90 tipos dedentde desenvolvedores e de nuvem. Tokens da AWS, segredos do Google Cloud e do Azure, chaves SSH, configurações do Kubernetes, tokens da CLI do GitHub, tudo na lista.
Para desenvolvedores de criptografia, o malware ataca especificamente arquivos .env. Esses arquivos geralmente contêm chaves privadas, credenciais de nós RPCdentsegredos da API de exchanges.
Para extrair os dados roubados, o malware utiliza tunelamento DNS. Basicamente, ele oculta os arquivos dentro de solicitações de pesquisa de internet aparentemente normais. A maioria das ferramentas de segurança de rede não detecta isso.
As equipes de segurança afirmam que qualquer projeto que tenha executado o comando `npm install` ou que tenha tido dependências atualizadas automaticamente durante esse período de duas horas deve ser considerado comprometido.
Medidas imediatas, conforme orientação da SlowMist:
- Verifique os arquivos de bloqueio para as versões 9.1.6, 9.2.3 ou 12.0.1 do node-ipc.
- Reverter para a última versão que você sabe ser segura.
- Troque todos os documentos dedentque possam ter vazado.
Em 2026, ataques à cadeia de suprimentos do npm se tornaram comuns. Projetos de criptomoedas são mais afetados do que a maioria, pois logins roubados podem ser convertidos em dinheiro roubado rapidamente.
Se você está lendo isto, já está um passo à frente. Continue assim assinando nossa newsletter.
Artigos Recomendados
