node-ipc compromis : risque de vol de credentials
Attaque supply-chain active ciblant le package npm node-ipc avec exfiltration de credentials via DNS.
Publié le par Emmanuel LASTRA 1 min de lecture
L’équipe de recherche de Socket a détecté plusieurs versions malveillantes du package npm populaire node-ipc (plus de 600k téléchargements par semaine) impliquées dans une attaque supply-chain encore active à cette heure (14 mai 2026 - 23:50 Heure de Paris).
Les versions 9.1.6, 9.2.3 et 12.0.1 embarquent un code obfusqué capable de collecter des variables d’environnement, clés SSH, tokens cloud, fichiers .env, identifiants GitHub/GitLab, credentials Kubernetes ou Docker puis de les exfiltrer via des requêtes DNS TXT.
Le malware semble viser spécifiquement les utilisateurs CommonJS (require(“node-ipc”)) et crée une archive temporaire contenant les données volées avant tentative de suppression.
Le vecteur identifié par le chercheur Ian Ahl (@TekDefense, Permiso) est la prise de contrôle d’un compte npm dormant : son domaine d’e-mail de récupération avait expiré, permettant à l’attaquant de déclencher une réinitialisation de mot de passe npm et d’obtenir les droits de publication.
Les domaines sh.azurestaticprovider.net et bt.node.js sont utilisés pour l’infrastructure d’exfiltration.
Socket recommande de supprimer immédiatement les versions touchées, auditer les caches npm et régénérer tous les secrets présents sur les machines affectées.