Zespół CERT Polska informuje o ataku typu supply chain wymierzonym w popularną bibliotekę dla środowiska Node.js - node-ipc.
14 maja 2026 r. w wyniku przejęcia konta opiekuna projektu do oficjalnego repozytorium npm trafiły zmodyfikowane wersje node-ipc. Szkodliwy kod został ukryty w pliku node-ipc.cjs i jest automatycznie uruchamiany przy użyciu require('node-ipc'). Celem złośliwego kodu była kradzież poświadczeń programistów, tokenów CI/CD, kluczy SSH oraz danych ze środowisk chmurowych i klastrów Kubernetes, a następnie ich eksfiltracja za pomocą zapytań DNS TXT. Atak został zaprojektowany tak, aby nie zakłócać normalnego działania aplikacji, co utrudnia jego wykrycie.
Wersje biblioteki opublikowane przez atakującego to:
node-ipc@9.1.6
node-ipc@9.2.3
node-ipc@12.0.1
Eksfiltracja danych polegała na wysyłaniu zapytań DNS TXT do publicznych serwerów DNS (1.1.1.1 oraz 8.8.8.8) odpytujących o domeny utworzone według poniższego schematu:
xh.{machineId16}.{nonce10}.{sig12}.{chunkIdx}.{data}.bt.node[.]jsxd.{machineId16}.{nonce10}.{sig12}.{chunkIdx}.{data}.bt.node[.]jsLista IoC:
- azurestaticprovider[.]net (domena C2)
- bt.node[.]js (domena wykorzystana do eksfiltracji danych)
- 37.16.75[.]69
- 96097e0612d9575cb133021017fb1a5c68a03b60f9f3d24ebdc0e628d9034144 (SHA-256)
- d1ba0419cb5e5de91b9b58e87b8322e1 (MD5)
Zalecamy niezwłoczną weryfikację Państwa systemów pod kątem powyższych wskaźników oraz podejrzanej komunikacji DNS. W przypadku ich wykrycia prosimy o jak najszybszy kontakt z naszym zespołem.