Вредоносный node-ipc: кража учетных данных через supply chain

14 мая 2026 года злоумышленники опубликовали вредоносные версии широко используемого npm-пакета node-ipc, воспользовавшись аккаунтом легитимного сопровождающего. Внутрь пакета, который ранее собирал около 3,35 миллиона загрузок в месяц, был встроен сложный payload для кражи учетных данных.

Инцидент показал, как атаки на software supply chain переходят от примитивного распространения вредоносного кода к более точечным и инфраструктурно осведомленным операциям, нацеленным на секреты, используемые в средах разработки, CI/CD и Cloud-сервисах.

Как был скрыт вредоносный код

Вредоносная нагрузка была скрыта внутри CommonJS-сборки, а именно в файле node-ipc.cjs. Активация происходила незаметно в момент, когда приложение загружало пакет через команду require('node-ipc'). При этом нормальная функциональность пакета сохранялась, что значительно снижало вероятность немедленного обнаружения.

По данным анализа, злоумышленники собрали вредоносную нагрузку локально и распространили ее как будто это были легитимные обновления для node-ipc, который не менялся почти 20 месяцев до инцидента.

Компрометация произошла без взлома npm

Расследование показало, что кампания стала возможной из-за скомпрометированной учетной записи электронной почты бывшего сопровождающего. Это позволило злоумышленникам выполнить несанкционированную impersonation без прямого взлома систем npm.

Отдельно была подтверждена и инфраструктура управления атакой: опасный домен azurestaticprovider.net был зарегистрирован в тот же день, когда вредоносные пакеты были опубликованы.

Что именно делало вредоносное ПО

При выполнении вредоносное ПО нацеливалось на конфиденциальные API в среде Node.js и действовало по многоэтапной схеме. Сначала оно запускалось скрытно, не вызывая тревог, после чего приступало к сбору учетных данных и секретов, распределенных по разным местам.

Под ударом оказались:

• cloud-идентификаторы;
• инструменты разработчика;
• учетные данные, связанные со средами разработки;
• секреты, используемые в CI/CD-конвейерах.

Необычный канал эксфильтрации

Для эксфильтрации украденных данных злоумышленники использовали DNS TXT-запросы вместо традиционных HTTP-методов. Такой подход сделал канал передачи менее заметным: многие организации уделяют основное внимание именно HTTP-трафику, в то время как DNS нередко остается недостаточно контролируемым.

Кроме того, в конструкции вредоносного ПО была предусмотрена возможность создания отсоединенного дочернего процесса. Это позволяло ему закрепляться независимо от родительского приложения Node.js и дополнительно усложняло обнаружение.

Почему эта атака важна

Кампания установила новый операционный базис для атак на software supply chain. Злоумышленники продемонстрировали способность использовать доверенные программные инструменты для сложных целевых операций по сбору учетных данных, не создавая очевидных индикаторов компрометации.

Событие подчеркивает необходимость повышенной бдительности и расширенного мониторинга аномалий в процессах node.js, необычной активности DNS и несанкционированного доступа к конфиденциальным учетным данным.

Эксперты фактически фиксируют сдвиг: теперь атаки на популярные open-source-компоненты все чаще используются не просто для доставки malware, а для скрытого сбора секретов и дальнейшего развития атаки в корпоративной инфраструктуре.