Question 1

Quali versioni di node-ipc contengono il malware?

Accepted Answer

Versioni 9.1.6, 9.2.3 e 12.0.1. Sia SlowMist che StepSecurity le hanno segnalate. Tutte e tre contenevano lo stesso payload offuscato che si attiva non appena si carica il pacchetto.

Question 2

Come ha fatto l'attaccante a impossessarsi dell'account del manutentore?

Accepted Answer

Il dominio email del gestore originale, atlantis-software.net, è scaduto il 10 gennaio 2025. Un malintenzionato lo ha registrato nuovamente tramite Namecheap il 7 maggio 2026, per poi utilizzare la procedura di reimpostazione della password di npm per impossessarsi dell'account. Il gestore non si è mai accorto dell'accaduto, secondo l'analisi di StepSecurity riportata da Bitcoin.

Question 3

Cosa afferra esattamente il ladro?

Accepted Answer

Oltre 90 categorie di segreti. Token AWS,dentGoogle Cloud e Azure, chiavi SSH, configurazioni Kubernetes, token GitHub CLI, file di cronologia della shell e file .env, che spesso contengono chiavi private crittografiche e segreti delle API degli exchange. Bitcoinha pubblicato la ripartizione completa.

StepSecurity

Gli aggressori si impossessano dell'account di un manutentore npm e rubano le chiavi crittografiche

Un briefing conciso.
Ogni giorno.

StepSecurity

Gli aggressori si impossessano dell'account di un manutentore npm e rubano le chiavi crittografiche

Un briefing conciso.Ogni giorno.

Un briefing conciso.
Ogni giorno.