Atak typu supply chain na bibliotekę node-ipc z repozytorium npm

Zespół CERT Polska informuje o ataku typu supply chain wymierzonym w popularną bibliotekę dla środowiska Node.js - node-ipc.

14 maja 2026 r. w wyniku przejęcia konta opiekuna projektu do oficjalnego repozytorium npm trafiły zmodyfikowane wersje node-ipc. Szkodliwy kod został ukryty w pliku node-ipc.cjs i jest automatycznie uruchamiany przy użyciu require('node-ipc'). Celem złośliwego kodu była kradzież poświadczeń programistów, tokenów CI/CD, kluczy SSH oraz danych ze środowisk chmurowych i klastrów Kubernetes, a następnie ich eksfiltracja za pomocą zapytań DNS TXT. Atak został zaprojektowany tak, aby nie zakłócać normalnego działania aplikacji, co utrudnia jego wykrycie.

Wersje biblioteki opublikowane przez atakującego to:

• [email protected]

• [email protected]

• [email protected]

Eksfiltracja danych polegała na wysyłaniu zapytań DNS TXT do publicznych serwerów DNS (1.1.1.1 oraz 8.8.8.8) odpytujących o domeny utworzone według poniższego schematu:

xh.{machineId16}.{nonce10}.{sig12}.{chunkIdx}.{data}.bt.node[.]js

xd.{machineId16}.{nonce10}.{sig12}.{chunkIdx}.{data}.bt.node[.]js

Lista IoC:

- azurestaticprovider[.]net (domena C2)

- bt.node[.]js (domena wykorzystana do eksfiltracji danych)

- 37.16.75[.]69

- 96097e0612d9575cb133021017fb1a5c68a03b60f9f3d24ebdc0e628d9034144 (SHA-256)

- d1ba0419cb5e5de91b9b58e87b8322e1 (MD5)

Zalecamy niezwłoczną weryfikację Państwa systemów pod kątem powyższych wskaźników oraz podejrzanej komunikacji DNS. W przypadku ich wykrycia prosimy o jak najszybszy kontakt z naszym zespołem.