Heimlich, leise, schlimm: Am 14. Mai 2026 ploppen drei boese node-ipc-Versionen auf npm auf. Das Library steckt in MILLIONEN Build-Pipelines — und der Schadcode greift gnadenlos Cloud-Keys, SSH-Material und CI-Secrets ab. JETZT ist Lockfile-Zeit.
SCHOCK: 10 Millionen Downloads pro Woche treffen direkt zu
node-ipc gehoert zu den Klassikern unter den Node.js-Libraries — Inter-Process Communication, ueber 10 MILLIONEN Downloads JEDE WOCHE. Drei frisch hochgeladene Versionen tragen einen obfuskierten Payload mit sich. Sobald der Code geladen wird, scannt er das Build-Environment, packt alles Brauchbare in eine Variable und schickt es raus.
PAYLOAD: Was der Schadcode konkret klaut
Die Forscher von StepSecurity haben den Payload zerlegt. Ziele: Cloud-Credentials (AWS, Azure, GCP, Hetzner-Tokens), SSH-Keys aus dem User-Home und CI-Secrets (GitHub Actions, GitLab Pipelines, Jenkins). Auch Browser-Cookies und Session-Daten werden gesammelt. Damit kann der Angreifer in fremde Cloud-Accounts wechseln, Git-Repos uebernehmen und sogar Container-Registries verbiegen.
PIPELINE-FALLE: Transitive Abhaengigkeit schlaegt zu
Du nutzt node-ipc nie direkt? Dann pruef trotzdem deine Lockfile. Hunderte Pakete ziehen node-ipc ueber transitive Abhaengigkeiten. Lauf npm ls node-ipc in jedem Repo. Wenn die Bibliothek auftaucht und auf eine der bekannten Schad-Versionen zeigt — Notfall-Modus.
SOFORT-MASSNAHMEN: So entschaerfst du das
Schritt 1: Lockfile freezen (package-lock.json, yarn.lock, pnpm-lock.yaml) und auf saubere Versionen pinnen. Schritt 2: CI-Cache leeren, sonst lebt der Payload weiter. Schritt 3: Alle SSH-Keys und Cloud-Tokens rotieren, die in den letzten 48 Stunden in CI-Logs waren. Schritt 4: GitHub Actions Secrets pruefen — auch die, die du in den letzten zwei Tagen nicht angefasst hast.
EXTRA-TIPP: SLSA-Pflicht und npm-provenance JETZT einschalten
node-ipc liegt bei npm OHNE provenance. Setz fuer eigene Pakete npm publish --provenance. So koennen Konsumenten kryptografisch pruefen, ob das Paket aus deinem Repo kommt. Plus: aktiviere SLSA-Level-3 in deinen GitHub Actions Workflows — das stoppt Cache-Poisoning und gefakte OIDC-Tokens.
FAZIT: npm bleibt das groesste Angriffs-Spielfeld
Diese Welle reisst nach TanStack, SAP-Pakete und Mistral AI WIEDER eine Riesen-Wunde in die JS-Welt. npm hat versprochen, schneller zu reagieren — aber bis dahin gilt: Lockfile pinnen, Provenance erzwingen, Secrets rotieren. Und ueberleg dir, ob deine CI wirklich JEDES neue Minor-Update sofort ziehen muss.
Häufige Fragen
Welche Versionen sind betroffen?
Wie merke ich, ob mein System verwundbar ist?
npm audit und npm ls node-ipc. Pruef ausserdem CI-Logs der letzten 48 Stunden auf ungewoehnliche Netzwerk-Aufrufe zu Endpoints, die nicht zu deinem Stack gehoeren.