Socket avdekket angrepet ifølge Cyber Press. De ondsinnede versjonene plasserer payloaden direkte i CommonJS-inngangspunktet (node-ipc.cjs), så koden kjører i det øyeblikket pakken kreves inn. ESM-versjonen er ren; det er kun applikasjoner som bruker require("node-ipc") som er eksponert. Pakken har over 822 000 ukentlige nedlastinger.
Den obfuskerte payloaden kartlegger systemet, leser opp lokale filer og miljøvariabler, komprimerer og krypterer dataene, og eksfiltrerer alt via DNS TXT-queries til angripers domener som etterligner Azure-infrastruktur. Datatypene koden jakter på er kjente: AWS-, Azure-, GCP- og OCI-nøkler, SSH-nøkler, Git-credentials, API-tokens, Kubernetes-, Docker- og Terraform-konfigurasjoner, .env-filer, database-configs og CI/CD-hemmeligheter. Ett kompromittert system genererer titusenvis av DNS-spørringer.
Det interessante er inngangsvektoren. Socket mener angriperen overtok en sovende vedlikeholderskonto ved å registrere et utløpt e-postdomene knyttet til kontoen «atiertant», og nullstilte passordet. Ingen brudd på npm-infrastrukturen, ingen typosquat. Bare en glemt konto med en død e-postadresse.
Hva bør du gjøre?
- Audit umiddelbart: kjør
npm ls node-ipcrekursivt i alle prosjekter. Sjekk også transitive avhengigheter vianpm ls --all. - Roter alle hemmeligheter hvis du har installert eller buildet med en av de berørte versjonene de siste 48 timene. AWS, Azure, GCP, OCI, SSH, GitHub-tokens, API-nøkler.
- Overvåk DNS-loggene for uvanlig store TXT-query-bursts og blokker
azurestaticprovider.netognode.js-subdomener med xh, xd, xf-prefiks. - Tenk policy: vurder å pinne npm-versjoner med
npm ciog lockfile, ikke^-rekkevidder, på CI.