Question 1

¿Qué versiones de node-ipc contienen el malware?

Accepted Answer

Versiones 9.1.6, 9.2.3 y 12.0.1. Tanto SlowMist como StepSecurity las detectaron como amenazas. Las tres contenían la misma carga útil ofuscada que se ejecuta al cargar el paquete.

Question 2

¿Cómo logró el atacante apoderarse de la cuenta del administrador?

Accepted Answer

El dominio de correo electrónico del responsable original, atlantis-software.net, caducó el 10 de enero de 2025. El atacante lo volvió a registrar a través de Namecheap el 7 de mayo de 2026 y luego utilizó el proceso de restablecimiento de contraseña de npm para apoderarse de la cuenta. Según el análisis de StepSecurity publicado por Bitcoin, el responsable nunca se enteró de lo sucedido.

Question 3

¿Qué es lo que realmente se lleva el ladrón?

Accepted Answer

Más de 90 categorías de secretos. Tokens de AWS,dentGoogle Cloud y Azure, claves SSH, configuraciones de Kubernetes, tokens de GitHub CLI, archivos de historial de shell y archivos .env, que a menudo contienen claves privadas de criptomonedas y secretos de la API de intercambio. Bitcoinpublicó el desglose completo.

npm

Los atacantes utilizaron un troyano para el paquete npm WeaveDB de Arweave con el fin de desplegar malware

Un informe conciso.
Todos los días.

npm

Los atacantes utilizaron un troyano para el paquete npm WeaveDB de Arweave con el fin de desplegar malware

Un informe conciso.Todos los días.

Un informe conciso.
Todos los días.