822K 下载面临风险：发现恶意 node-ipc 版本窃取 AWS 和私钥

5 月 14 日，Node-ipc（跨 Web3 构建管道使用的基础 Node.js 库）的三个恶意版本已被确认受到损害，安全公司 Slowmist 警告称，依赖该软件包的加密货币开发人员面临直接的凭证盗窃风险。

要点：

Slowmist 于 5 月 14 日标记了三个恶意的 node-ipc 版本，目标是每周超过 822,000 次 npm 下载。

80KB 的有效负载可窃取 90 多个凭证类别，包括通过 DNS 隧道的 AWS 密钥和 .env 文件。

开发人员必须立即固定到干净的node-ipc版本并轮换所有可能暴露的秘密。

开发商秘密岌岌可危

区块链安全公司 Slowmist 通过其 Misteye 威胁情报系统标记了此次攻击，识别出三个恶意版本，即版本 9.1.6、9.2.3 和 12.0.1。 Node-ipc 包用于在 Node.js 环境中启用进程间通信 (IPC)，嵌入到整个加密生态系统的去中心化应用程序 (dApp) 构建管道、CI/CD 系统和开发人员工具中。

恶意版本被确定为版本 9.1.6、9.2.3 和 12.0.1。

该软件包每周平均下载量超过 822,000 次，攻击面相当大。三个恶意版本中的每一个都带有相同的 80 KB 混淆负载，附加到程序包的 CommonJS 捆绑包中。该代码在每次 require(‘node-ipc’) 调用时无条件触发，这意味着任何安装或更新到受污染版本的项目都会自动运行窃取程序，无需用户交互。

恶意软件窃取了什么

嵌入式有效负载针对 90 多种开发人员和云凭证，包括 Amazon Web Services (AWS) 令牌、Google Cloud 和 Microsoft Azure 密钥、SSH 密钥、Kubernetes 配置、Github CLI 令牌和 shell 历史文件。与加密空间相关，该恶意软件以 .env 文件为目标，这些文件经常存储私钥、RPC 节点凭据并交换 API 机密。被盗数据通过 DNS 隧道泄露，通过域名系统查询路由文件以逃避标准网络监控工具。

Stepsecurity 的研究人员证实，攻击者从未接触过 node-ipc 的原始代码库。相反，他们通过重新注册过期的电子邮件域来利用休眠维护者帐户。

atlantis-software.net 域名于 2025 年 1 月 10 日到期，攻击者于 2026 年 5 月 7 日通过 Namecheap 重新注册。然后他们触发了标准 npm 密码重置，在原始维护者不知情的情况下获得了完全发布访问权限。

恶意版本在检测和删除之前在注册表中保留了大约两个小时。在此窗口期间运行 npm install 或自动更新依赖项的任何项目都应被视为可能受到损害。安全团队建议立即审核 node-ipc 版本 9.1.6、9.2.3 或 12.0.1 的锁定文件，并回滚到最后一个经过验证的干净版本。

对 npm 生态系统的供应链攻击已成为 2026 年的持续威胁，加密项目因其凭证可以提供直接的财务访问而成为高价值目标。