Das node-ipc-Paket ist ein kritische Komponente im Node.js-Ökosystem. Es ermöglicht es verschiedenen Prozessen, über unterschiedliche Socket-Typen zu kommunizieren – Unix-Sockets, Windows-Named-Pipes, UDP, TLS und TCP. Millionen von Anwendungen weltweit setzen auf dieses Modul, weshalb eine Kompromittierung besonders gefährlich ist.
Die aktuelle Attacke zeigt ein bekanntes Angriffsszario: Hacker haben sich Zugang zum Konto eines inaktiven Maintainers namens ‘atiertant’ verschafft und mehrere neue Versionen mit bösartigem Code veröffentlicht. Die Malware versteckt sich im CommonJS-Einstiegspunkt (node-ipc.cjs) und wird automatisch ausgeführt, sobald Anwendungen das Paket laden.
Die technische Analyse offenbart eine ausgefeilte Operation: Der Infostealer sammelt systematisch Umgebungsvariablen, Authentifizierungsdaten und lokale Dateien. Um die Netzwerküberwachung zu umgehen, nutzen die Angreifer einen ungewöhnlichen Exfiltrationsmechanismus – DNS TXT-Anfragen statt herkömmlichen HTTP-Verkehr zu Command-and-Control-Servern. Ein 500 Kilobyte großes komprimiertes Archiv erzeugt etwa 29.400 DNS-Anfragen, was den Datenverkehr in normalen DNS-Aktivitäten versteckt.
Die Malware wurde gezielt optimiert: Sie ignoriert Dateien über 4 Megabyte, übergeht .git- und node_modules-Verzeichnisse und löscht temporäre Archive nach dem Abzug. Dies deutet auf Operational Security und Fokus auf schnelle Datenabschöpfung hin. Interessanterweise etabliert die Malware keine Persistenzmechanismen und lädt keine sekundären Payloads – es geht um Diebstahl und Flucht.
Für deutsche Entwickler und Unternehmen sind sofortige Maßnahmen erforderlich: Betroffene Versionen müssen unverzüglich deinstalliert werden, gespeicherte Credentials rotiert, und npm-Lockfiles sowie lokale Caches inspiziert werden. Das BSI empfiehlt zudem eine genaue Überprüfung von Zugriffsprotokollen und Systembefunden. Unternehmen sollten ihre Abhängigkeitsketten stärker überwachen und kontinuierliche Vulnerability-Scanning implementieren, um solche Attacken früher zu erkennen.