Cybersecuritybedrijf SlowMist waarschuwt voor een ernstige supply chain aanval binnen het Node.js ecosysteem. Kwaadaardige versies van de populaire npm library node ipc blijken gevoelige data te stelen via verborgen malwarecode. Volgens SlowMist gaat het om de versies 9.1.6, 9.2.3 en 12.0.1 van het pakket.
De aanval richt zich vooral op ontwikkelaars, cloudomgevingen en servers die afhankelijk zijn van Node.js applicaties. De besmette library beschikt over functies voor het verzamelen van AWS credentials, SSH sleutels, API keys en andere gevoelige systeeminformatie.
Malware verstopt in populaire Node.js library
Uit de technische analyse van SlowMist blijkt dat de aanvallers kwaadaardige code toevoegden aan de CommonJS entry file van node ipc. De library heeft meer dan 530.000 wekelijkse downloads en wordt gebruikt door honderden open source projecten.
Volgens het onderzoek werd ongeveer 80 KB aan zwaar versleutelde malwarecode toegevoegd aan het bestand node ipc.cjs. Zodra applicaties de library laden via require(“node ipc”), activeert de schadelijke code automatisch op de achtergrond.
De aanval gebruikt geen neppe package naam, maar misbruikt de officiรซle release pipeline van het echte node ipc project. Daardoor konden besmette versies ongemerkt via npm worden verspreid naar ontwikkelaars en productieomgevingen.
SlowMist meldt dat de verdachte releases verschenen na een lange periode zonder updates. Nieuwe versies werden gepubliceerd door een ander maintainer account, wat volgens onderzoekers past bij klassieke supply chain aanvallen binnen npm. Zulke aanvallen vergroten ook de zorgen rond crypto beveiliging en digitale fraude.
Gestolen data wordt via DNS tunnels verstuurd
De malware verzamelt onder meer AWS cloud credentials, SSH private keys, omgevingsvariabelen, hostinformatie en bestanden zoals /etc/hosts. Daarna wordt de data gecomprimeerd en opgesplitst in kleine fragmenten.
Opvallend is dat de exfiltratie niet via normale HTTP verbindingen verloopt. In plaats daarvan gebruikt de malware DNS tunneling om data ongemerkt naar servers van aanvallers te sturen.
Volgens SlowMist gebruikt de malware aangepaste DNS resolvers om TXT, A en AAAA queries rechtstreeks naar kwaadaardige infrastructuur te verzenden. Daardoor wordt detectie moeilijker voor traditionele beveiligingssystemen.
Meer technische details over de aanval zijn gepubliceerd door SlowMist.
Onderzoekers adviseren directe actie
SlowMist adviseert ontwikkelaars en bedrijven om onmiddellijk te controleren of node ipc versies 9.1.6, 9.2.3 of 12.0.1 aanwezig zijn in dependency trees. Wanneer deze versies worden gevonden, moeten ze direct worden vervangen door veilige alternatieven.
Daarnaast raden onderzoekers aan om logs te controleren op verdachte DNS requests richting infrastructuur zoals sh.azurestaticprovider.net en IP adressen die gekoppeld zijn aan de aanval.
De aanval laat opnieuw zien hoe kwetsbaar open source ecosystemen kunnen zijn wanneer populaire libraries worden gecompromitteerd. Vooral software supply chain aanvallen vormen de laatste jaren een steeds groter risico voor ontwikkelaars, crypto projecten en cloudplatformen. Dit gebeurt terwijl onderzoekers ook waarschuwen voor groeiende problemen rond crypto witwassen.
Wil jij altijd op de hoogte blijven van het laatste crypto nieuws? Volg ons dan gratis op Google Nieuws.
10% cashback met de Bybit Card, $50 gratis crypto bonus en 10% korting op fees
Bybit EU heeft haar Bybit Card in Europa gelanceerd, waarmee je bij meer dan 90 miljoen winkels kan betalen met je crypto, inclusief een 10% cashback. Om dit te vieren hebben zij een speciale promotie:
- 10% cashback op al je aankopen tot 150 EUR met de Bybit Crypto Card (meer informatie en voorwaarden)
- $50 bonus na storting van $100 (meer informatie en voorwaarden)
- 10% korting op de handelskosten (30 dagen geldig, zichtbaar tijdens registratie)
Alle bovengenoemde bonussen zijn deze maand tegelijkertijd geldig.
Bybit beschikt over een MiCAR licentie en mag officieel in Europa opereren onder de nieuwe regels.
Om aanspraak te maken op de $50 is een storting van minimaal $100 vereist. Bij een storting van minimaal $100 ontvang je $50 (ongeveer โฌ42). Alle gebruikers ontvangen de 10% korting op de handelskosten (geldig voor 30 dagen). De 20% cashback met de Bybit Card moet eerst geactiveerd worden.
Bybit heeft wereldwijd meer dan 70 miljoen gebruikers en meer dan 2 miljoen Bybit Card gebruikers. Registreer een account via onderstaande knop en profiteer van de welkomstbonus. Je vindt de voorwaarden op de actiepagina.