攻撃者がnpmメンテナーアカウントを乗っ取り、暗号鍵を盗む

SlowMistによると、5月14日にnode-ipcの3つの不正バージョンがnpmレジストリに公開された。 抜き取るように設計されたコードをプッシュしたdent情報、秘密鍵、交換APIの秘密情報などを

node-ipcは、同じマシン上、あるいは場合によってはネットワークを介して、異なるプログラム同士が通信できるようにする人気の高いNode.jsパッケージです。.

SlowMistが突破口を捉える

ブロックチェーンセキュリティ企業のSlowMistは、同社の脅威インテリジェンスシステム「MistEye」を通じてこの侵害を発見した。.

バージョン9.1.6、9.2.3、および12.0.1

MistEyeは、以下の3つの悪意のあるバージョンを発見しました。

• バージョン9.1.6。.
• バージョン9.2.3。.
• バージョン12.0.1.

上記のすべてのバージョンは、同じ難読化された80KBのペイロードを内蔵していた。.

Node-ipcは、Node.jsにおけるプロセス間通信を処理するライブラリです。基本的に、Node.jsプログラム間でメッセージを送受信するのに役立ちます。毎週82万2千人以上がダウンロードしています。.

構築するために使用するツール dAppsをシステムmatic（CI/CD）、そして日常的な開発者ツールなど、様々な場面で活用されています。

感染した各バージョンには、同じ悪意のあるコードが隠蔽されていた。いずれかのプログラムがnode-ipcをロードすると、そのコードがmaticに実行される仕組みになっていた。.

StepSecurityの研究者たちは、攻撃がどのように行われたかを解明した。node-ipcの元の開発者は、atlantis-software[.]netというドメインに関連付けられたメールアドレスを持っていた。しかし、そのドメインは2025年1月10日に期限切れになっていた。.

2026年5月7日、攻撃者はNamecheapを通じて同じドメインを購入し、開発者の古いメールアドレスを乗っ取った。そこから、npmで「パスワードを忘れた場合」をクリックしてパスワードをリセットし、node-ipcの新しいバージョンを公開する完全な権限を手に入れた。.

実際の開発者は、これらの事態が起こっていることを全く知らなかった。悪意のあるバージョンは約2時間稼働した後、削除された。.

窃盗犯は90種類以上のdentカードを探している

埋め込まれたペイロードは、90種類以上の開発者認証情報とクラウドdent情報を探し出します。AWSトークン、Google CloudおよびAzureのシークレット、SSHキー、Kubernetes構成、GitHub CLIトークンなど、すべてリストに含まれています。.

にとって 暗号通貨開発者、このマルウェアは特に.envファイルを狙っています。これらのファイルには通常、秘密鍵、RPCノードの認証情報、および取引所APIの秘密情報が格納されていdent。

盗んだデータを外部に漏洩させるため、ペイロードはDNSトンネリングを利用します。これは基本的に、一見普通のインターネット検索リクエストの中にファイルを隠蔽する仕組みです。ほとんどのネットワークセキュリティツールではこれを検知できません。.

プロジェクトはすべて、侵害された可能性があると想定すべきだと述べている npm installを 、または依存関係が自動更新された

SlowMistの指示に基づく即時の対応策：

• node-ipc バージョン 9.1.6、9.2.3、または 12.0.1 のロック ファイルを確認してください。.
• 安全性が確認されている最後のバージョンに戻してください。.
• 漏洩した可能性のあるdent情報はすべて変更してください。.

2026年、npmに対するサプライチェーン攻撃は日常茶飯事となった。暗号通貨プロジェクトは、盗まれたログイン情報がすぐに盗まれた金銭に変わるため、他のプロジェクトよりも大きな打撃を受ける。.