Un backdoor tipo stealer fue descubierto en tres versiones del paquete Node-IPC, dirigido a desarrolladores para robar secretos. Las versiones 1.0.0, 1.0.1 y 1.0.2 contenían código malicioso que extraía claves API, tokens de acceso y variables de entorno. El malware operaba silenciosamente, enviando datos a un servidor remoto. Este incidente expone la vulnerabilidad en la cadena de suministro de software.
Análisis técnico del código malicioso 🔍
El código malicioso se activaba al instalar el paquete, ejecutando un script que recolectaba información del sistema infectado. Utilizaba funciones de Node.js para leer variables de entorno y archivos de configuración, filtrando datos a un endpoint remoto. Los atacantes diseñaron el stealer para ser sigiloso, sin dejar rastros evidentes en los logs. La comunidad de seguridad recomienda auditar dependencias y usar herramientas de análisis estático para detectar amenazas similares en el ecosistema npm.
El regalo sorpresa que nadie pidió en su proyecto 🎁
Porque claro, lo que todo desarrollador necesita es un paquete que, además de gestionar procesos IPC, decida hacer de espía y llevarse tus tokens como recuerdo. Node-IPC ahora ofrece funciones premium: instalar y que te roben las credenciales sin costo adicional. Si querías sentirte como en una película de hackers, ya lo lograste. Lo bueno es que al menos el paquete no borró el disco duro, así que podemos llamarlo un regalo moderado.