El ataque a la cadena de suministro de Node-IPC tiene como objetivo a los desarrolladores de criptomonedas

Ataque a la cadena de suministro de Node-IPC: Un robo dirigido a desarrolladores cripto

El 14 de mayo, el popular paquete de Node.js node-ipc fue comprometido en un ataque a la cadena de suministro. Tres versiones maliciosas fueron publicadas en npm con el objetivo de robar credenciales y claves privadas de desarrolladores, especialmente en el sector cripto.

• Versiones maliciosas: 9.1.6, 9.2.3 y 12.0.1.
• Objetivo: Robar claves privadas, secretos de API y credenciales de archivos .env.
• Método: Secuestro de una cuenta de mantenedor inactiva y tunelización DNS para exfiltrar datos.

¿Cómo ocurrió el ataque?

El atacante compró un dominio caducado vinculado al correo del desarrollador original de node-ipc. Con el control del correo, restableció la contraseña en npm y publicó las versiones infectadas. El código malicioso, de 80 KB, se ejecutaba automáticamente al cargar el paquete.

Impacto y pasos a seguir

El malware busca más de 90 tipos de credenciales, incluyendo tokens de AWS, Google Cloud y claves SSH. Para los desarrolladores cripto, el foco está en los archivos .env que contienen claves privadas y secretos de exchange. Las versiones maliciosas estuvieron activas durante dos horas.

Acción inmediata:

• Revisa tus archivos de bloqueo en busca de las versiones 9.1.6, 9.2.3 o 12.0.1 de node-ipc.
• Vuelve a una versión segura conocida.
• Rota todas las credenciales que pudieron haber sido expuestas.