En bref
Que s'est-il passé ?
Le 14 mai 2026, trois versions malveillantes de node-ipc (9.1.6, 9.2.3, 12.0.1), bibliothèque IPC Node.js fondamentale (10+ M de téléchargements/semaine), sont publiées simultanément par un compte jamais responsable d'une release (atiertant).
Publier sur deux lignes majeures à la fois maximise le rayon d'explosion : tout utilisateur en ~9.1.x, ^9, ^12… reçoit la version piégée au prochain install. Une charge obfusquée de 80 Ko est injectée dans le bundle CommonJS (l'entrée ESM reste intacte).
Au require('node-ipc'), le malware moissonne 90+ catégories de secrets (AWS, Azure, GCP, SSH, Kubernetes, GitHub CLI, Claude AI, Terraform state…), compresse en gzip et exfiltre vers un serveur déguisé en infrastructure Azure.
Épingler les versions (éviter les plages ^ et ~), désactiver les scripts et chargements non nécessaires, détecter la republication par un compte inhabituel, et rotation des secrets exposés.
Chronologie de l'attaque
Trois versions de node-ipc (sur deux lignes majeures) sont publiées par un compte inhabituel, injectant un voleur dans le bundle CommonJS.
Comment l'attaquant a procédé
Cet incident met en jeu les vecteurs d'attaque suivants du catalogue SOCLE ; chacun renvoie à sa fiche, où l'on trouve les exigences qui le neutralisent :
La leçon à en tirer
2FA et trusted publishing sur les comptes de publication ; détection de republication anormale.
Les exigences SOCLE qui auraient limité cet incident
Cet incident se rattache à 2 exigences du référentiel, par domaine. Les satisfaire n'aurait pas forcément tout empêché, mais aurait réduit la probabilité de l'attaque, limité son impact ou accéléré sa détection :