Bienvenido al blog de Undercode   Click to listen highlighted text! Bienvenido al blog de Undercode
Inicio Noticias Malware detectado en versiones npm de node-ipc

Malware detectado en versiones npm de node-ipc

por Dragora

La cadena de suministro de software vuelve a estar bajo amenaza tras descubrirse que varias versiones del popular paquete npm node-ipc contienen código malicioso diseñado para robar credenciales, secretos cloud y datos sensibles de desarrolladores.

Investigadores de Socket y StepSecurity confirmaron que múltiples versiones recientemente publicadas del paquete fueron comprometidas e incluyen capacidades avanzadas de backdoor y robo de información.

El hallazgo genera una enorme preocupación dentro de la comunidad DevOps y del ecosistema Node.js debido a que node-ipc es ampliamente utilizado en proyectos empresariales y entornos de desarrollo modernos.

Versiones maliciosas detectadas en npm

Los investigadores identificaron tres versiones comprometidas del paquete:

Según Socket, estas versiones contienen comportamiento altamente ofuscado asociado con:

  • Stealers
  • Backdoors
  • Robo de secretos
  • Exfiltración de datos
  • Reconocimiento del entorno

El malware fue diseñado para ejecutarse automáticamente cuando el paquete es cargado mediante:


1
require(<span class="ͼk">'node-ipc'</span>)

Esto significa que la carga maliciosa se activa silenciosamente en tiempo de ejecución sin depender de scripts de instalación tradicionales.

El malware roba credenciales cloud y secretos de desarrollo

Los investigadores descubrieron que el código malicioso intenta recolectar una enorme variedad de secretos sensibles almacenados en el sistema comprometido.

Entre los datos robados destacan más de 90 categorías de credenciales, incluyendo:

  • Credenciales de Amazon Web Services (AWS)
  • Tokens de Google Cloud
  • Secretos de Microsoft Azure
  • Claves SSH
  • Tokens Kubernetes
  • Configuraciones GitHub CLI
  • Configuración de Claude AI
  • Archivos Kiro IDE
  • Estados de Terraform
  • Contraseñas de bases de datos
  • Historial de terminal y shell
  • Variables de entorno sensibles

La amplitud del robo demuestra que los atacantes apuntaban específicamente a entornos de desarrollo, DevOps y cloud engineering.

Cómo funciona la carga maliciosa

StepSecurity explicó que la carga útil fue insertada como una:

  • IIFE (Immediately Invoked Function Expression)

El código fue añadido directamente al final de:

  • 1
    node-ipc.cjs

A diferencia de otros ataques a la cadena de suministro, esta técnica evita depender de:

  • Scripts preinstall
  • install
  • postinstall

Esto dificulta significativamente la detección mediante herramientas tradicionales de seguridad enfocadas en hooks de instalación npm.

La ejecución ocurre automáticamente apenas el módulo es requerido por una aplicación Node.js.

Técnicas avanzadas de evasión y fingerprinting

Uno de los aspectos más sofisticados del malware es su capacidad de realizar fingerprinting altamente específico.

La versión:

  • 1
    12.0.1

Incluye una comprobación SHA-256 que valida el entorno objetivo antes de activar completamente el robo de información.

El malware compara el hash del proyecto con un valor codificado y ensamblado dinámicamente mediante fragmentos ofuscados.

Según Sai Likhith, esto indica que el atacante probablemente apuntaba a víctimas específicas.

En otras palabras:

  • El malware puede permanecer completamente inactivo en sistemas no deseados
  • Solo se activa en objetivos previamente seleccionados

Sin embargo, las versiones:

  • 1
    9.1.6
  • 1
    9.2.3

No incluyen esta restricción y ejecutan la carga maliciosa en cualquier entorno que cargue el paquete.

Exfiltración mediante HTTPS y DNS encubierto

Tras recolectar la información, el malware comprime los datos utilizando:

  • GZIP

Posteriormente, transmite la información robada hacia el dominio:

  • 1
    sh.azurestaticprovider[.]net

Los investigadores descubrieron además un segundo mecanismo de exfiltración mucho más sofisticado basado en consultas DNS TXT.

El malware:

  1. Resuelve inicialmente el dominio usando:
    • 1
      1.1.1.1
    • 1
      8.8.8.8
  2. Obtiene la IP del servidor C2
  3. Redirige directamente las consultas DNS hacia el servidor controlado por el atacante

Esto permite evitar:

  • Logs DNS corporativos
  • Sistemas tradicionales de monitoreo
  • Resolutores empresariales
  • Herramientas SIEM dependientes de DNS público

Según StepSecurity, esta técnica anti-detección resulta particularmente avanzada para un ataque de cadena de suministro npm.

La cuenta sospechosa “atiertant” publicó las versiones comprometidas

Las versiones maliciosas fueron publicadas por una cuenta llamada:

  • 1
    atiertant

Aunque la cuenta aparecía listada como mantenedor del paquete, los investigadores señalaron que no tenía historial previo relacionado con node-ipc.

El autor original del paquete es:

  • 1
    riaevangelist

La última actualización legítima del proyecto había ocurrido en:

  • Agosto de 2024

El hecho de que el paquete permaneciera inactivo durante 21 meses antes de la publicación maliciosa sugiere dos posibles escenarios:

  • Compromiso reciente de credenciales npm
  • Incorporación deliberada del nuevo mantenedor para introducir malware

node-ipc ya había protagonizado polémicas anteriores

No es la primera vez que node-ipc se ve involucrado en incidentes de seguridad.

En marzo de 2022, el propio mantenedor original introdujo código destructivo en las versiones:

  • 1
    10.1.1
  • 1
    10.1.2

El malware sobrescribía archivos en sistemas ubicados en:

  • Rusia
  • Bielorrusia

Como protesta contra la invasión rusa de Ucrania.

Posteriormente, las versiones:

  • 1
    11.0.0
  • 1
    11.1.0

Incluyeron la dependencia:

  • 1
    peacenotwar

La acción generó enorme controversia dentro del ecosistema open source y abrió debates sobre la seguridad y ética de los mantenedores de paquetes críticos.

Riesgos para empresas y entornos DevOps

El nuevo incidente representa un riesgo extremadamente grave para organizaciones que utilizan pipelines CI/CD automatizados y despliegues basados en npm.

Las credenciales comprometidas podrían permitir a atacantes:

  • Acceder a infraestructura cloud
  • Tomar control de entornos Kubernetes
  • Modificar repositorios GitHub
  • Alterar pipelines de despliegue
  • Robar secretos empresariales
  • Ejecutar ataques de movimiento lateral

Debido a que muchos sistemas automatizados actualizan dependencias automáticamente, el impacto potencial podría extenderse rápidamente.

Recomendaciones urgentes para usuarios de node-ipc

Los investigadores recomiendan actuar inmediatamente si alguna de las versiones comprometidas fue instalada.

Acciones prioritarias

  • Eliminar versiones:
    • 1
      9.1.6
    • 1
      9.2.3
    • 1
      12.0.1

Instalar versiones limpias

Utilizar:

  • 1
    9.2.1
  • 1
    12.0.0

Rotar credenciales

Cambiar inmediatamente:

  • Tokens cloud
  • Claves SSH
  • Credenciales IAM
  • Variables de entorno
  • Secretos CI/CD

Auditar actividad sospechosa

Revisar:

  • Logs de ejecución
  • Actividad cloud
  • Eventos IAM
  • Accesos GitHub
  • Tráfico saliente hacia el dominio C2

La cadena de suministro open source sigue bajo ataque

El caso de node-ipc confirma nuevamente que los atacantes continúan apuntando agresivamente al ecosistema open source y a la cadena de suministro de software.

Los paquetes npm populares representan objetivos extremadamente valiosos porque permiten comprometer simultáneamente:

  • Miles de proyectos
  • Infraestructura cloud
  • Entornos DevOps
  • Sistemas empresariales
  • Plataformas CI/CD

La sofisticación observada en esta campaña demuestra que los actores maliciosos ya no dependen únicamente de técnicas simples de typosquatting o scripts de instalación maliciosos. Ahora utilizan:

  • Fingerprinting avanzado
  • Exfiltración DNS encubierta
  • Activación selectiva
  • Ofuscación compleja
  • Persistencia silenciosa

El incidente vuelve a poner de relieve la necesidad urgente de reforzar controles de seguridad en dependencias open source, implementar validaciones continuas de paquetes y adoptar herramientas capaces de detectar comportamiento malicioso incluso después de la instalación.

Fuente: The Hacker News

You may also like

Dejar Comentario

Click to listen highlighted text!