Ataque à cadeia de suprimentos Node-ipc tem como alvo desenvolvedores de criptomoedas

Ataque à Cadeia de Suprimentos do Node-ipc: Cripto na Mira

Um ataque recente à cadeia de suprimentos comprometeu o popular pacote Node.js node-ipc, visando especificamente desenvolvedores de criptomoedas para roubar chaves privadas e credenciais.

• Pacote popular node-ipc foi comprometido no registro npm.
• Atacantes usaram domínio expirado para sequestrar conta de mantenedor.
• Código malicioso mira arquivos .env com chaves privadas e segredos de APIs.

Detalhes do Ataque

A empresa de segurança SlowMist detectou três versões maliciosas do node-ipc (9.1.6, 9.2.3 e 12.0.1) publicadas em 14 de maio. O pacote, baixado por mais de 822.000 desenvolvedores semanalmente, é amplamente usado em ferramentas de criação de dApps e sistemas CI/CD no ecossistema cripto.

Como o Ataque Ocorreu

Pesquisadores da StepSecurity descobriram que o atacante comprou um domínio expirado vinculado ao e-mail do desenvolvedor original do node-ipc. Com acesso ao e-mail, ele redefiniu a senha do npm e publicou as versões infectadas. O código malicioso de 80 KB era executado automaticamente ao carregar o pacote.

Alvos e Método de Roubo

O malware busca mais de 90 tipos de credenciais, incluindo tokens da AWS, Google Cloud e Azure. Para desenvolvedores de criptomoedas, o foco são arquivos .env que contêm chaves privadas, credenciais de nós RPC e segredos de APIs de exchanges. Os dados roubados são exfiltrados usando tunelamento DNS, uma técnica que esconde as informações em consultas de DNS normais, dificultando a detecção.

Medidas Imediatas

As versões maliciosas ficaram online por cerca de duas horas. Qualquer projeto que tenha executado npm install nesse período deve ser considerado comprometido. A SlowMist recomenda:

• Verificar arquivos de bloqueio para as versões 9.1.6, 9.2.3 ou 12.0.1.
• Reverter para uma versão segura conhecida.
• Trocar imediatamente todas as credenciais que possam ter vazado.