SlowMist onthult grootschalige aanval via besmette npm library

Cybersecuritybedrijf SlowMist waarschuwt voor een ernstige supply chain aanval binnen het Node.js ecosysteem. Kwaadaardige versies van de populaire npm library node ipc blijken gevoelige data te stelen via verborgen malwarecode. Volgens SlowMist gaat het om de versies 9.1.6, 9.2.3 en 12.0.1 van het pakket.

De aanval richt zich vooral op ontwikkelaars, cloudomgevingen en servers die afhankelijk zijn van Node.js applicaties. De besmette library beschikt over functies voor het verzamelen van AWS credentials, SSH sleutels, API keys en andere gevoelige systeeminformatie.

Malware verstopt in populaire Node.js library

Uit de technische analyse van SlowMist blijkt dat de aanvallers kwaadaardige code toevoegden aan de CommonJS entry file van node ipc. De library heeft meer dan 530.000 wekelijkse downloads en wordt gebruikt door honderden open source projecten.

Volgens het onderzoek werd ongeveer 80 KB aan zwaar versleutelde malwarecode toegevoegd aan het bestand node ipc.cjs. Zodra applicaties de library laden via require(“node ipc”), activeert de schadelijke code automatisch op de achtergrond.

We recently issued an alert regarding the active supply chain attack targeting the foundational Node.js library node-ipc (malicious versions: 9.1.6, 9.2.3, 12.0.1). ✍️We have now published a detailed technical analysis covering the attack background, payload deobfuscation,… https://t.co/cFFdrjhJIm

— SlowMist (@SlowMist_Team) · May 16, 2026

De aanval gebruikt geen neppe package naam, maar misbruikt de officiële release pipeline van het echte node ipc project. Daardoor konden besmette versies ongemerkt via npm worden verspreid naar ontwikkelaars en productieomgevingen.

SlowMist meldt dat de verdachte releases verschenen na een lange periode zonder updates. Nieuwe versies werden gepubliceerd door een ander maintainer account, wat volgens onderzoekers past bij klassieke supply chain aanvallen binnen npm. Zulke aanvallen vergroten ook de zorgen rond crypto beveiliging en digitale fraude.

Gestolen data wordt via DNS tunnels verstuurd

De malware verzamelt onder meer AWS cloud credentials, SSH private keys, omgevingsvariabelen, hostinformatie en bestanden zoals /etc/hosts. Daarna wordt de data gecomprimeerd en opgesplitst in kleine fragmenten.

Opvallend is dat de exfiltratie niet via normale HTTP verbindingen verloopt. In plaats daarvan gebruikt de malware DNS tunneling om data ongemerkt naar servers van aanvallers te sturen.

Volgens SlowMist gebruikt de malware aangepaste DNS resolvers om TXT, A en AAAA queries rechtstreeks naar kwaadaardige infrastructuur te verzenden. Daardoor wordt detectie moeilijker voor traditionele beveiligingssystemen.

Meer technische details over de aanval zijn gepubliceerd door SlowMist.

Onderzoekers adviseren directe actie

SlowMist adviseert ontwikkelaars en bedrijven om onmiddellijk te controleren of node ipc versies 9.1.6, 9.2.3 of 12.0.1 aanwezig zijn in dependency trees. Wanneer deze versies worden gevonden, moeten ze direct worden vervangen door veilige alternatieven.

Daarnaast raden onderzoekers aan om logs te controleren op verdachte DNS requests richting infrastructuur zoals sh.azurestaticprovider.net en IP adressen die gekoppeld zijn aan de aanval.

De aanval laat opnieuw zien hoe kwetsbaar open source ecosystemen kunnen zijn wanneer populaire libraries worden gecompromitteerd. Vooral software supply chain aanvallen vormen de laatste jaren een steeds groter risico voor ontwikkelaars, crypto projecten en cloudplatformen. Dit gebeurt terwijl onderzoekers ook waarschuwen voor groeiende problemen rond crypto witwassen.