Node-ipc 供应链攻击针对加密开发者

据慢雾科技称，三个中毒版本的 node-ipc 于 5 月 14 日在 npm 注册表上上线。攻击者劫持了一个休眠维护者帐户，并推送旨在直接从 .env 文件中窃取开发人员凭据、私钥、交换 API 机密等的代码。

node-ipc 是一个流行的 Node.js 包，它允许不同的程序在同一台机器上相互通信，有时甚至可以通过网络相互通信。

慢雾抓住了突破口

区块链安全公司 SlowMist 通过其 MistEye 威胁情报系统发现了这一漏洞。

版本 9.1.6、9.2.3 和 12.0.1

MistEye 发现了三个恶意版本，包括：

版本 9.1.6。

版本 9.2.3。

版本 12.0.1。

上述所有版本都携带相同的混淆后的 80 KB 有效负载。

Node-ipc 处理 Node.js 中的进程间通信。它基本上帮助 Node.js 程序来回发送消息。每周有超过 822,000 人下载。

Node-ipc 在整个加密空间中都有使用。它用于开发人员用来构建 dApp 的工具、自动测试和部署代码 (CI/CD) 的系统以及日常开发人员工具。

每个受感染的版本都隐藏着相同的恶意代码。当任何程序加载node-ipc时，代码就会自动运行。

MistyEye 的屏幕截图显示了恶意的 node-ipc 软件包。来源：慢雾，来自 X。

StepSecurity 的研究人员弄清楚了攻击是如何发生的。 node-ipc 的原始开发人员有一个与域 atlantis-software[.]net 绑定的电子邮件地址。然而，该域名已于 2025 年 1 月 10 日到期。

2026 年 5 月 7 日，攻击者通过 Namecheap 购买了相同的域名，这使他们能够控制开发人员的旧电子邮件。从那里，他们只需在 npm 上点击“忘记密码”，重置密码，然后就可以在完全许可的情况下发布新版本的 node-ipc。

真正的开发者不知道这一切正在发生。恶意版本在被删除之前存活了大约两个小时。

窃取者会寻找 90 多种凭证类型

嵌入式有效负载会寻找 90 多种类型的开发人员和云凭据。 AWS 令牌、Google Cloud 和 Azure 密钥、SSH 密钥、Kubernetes 配置、GitHub CLI 令牌，全部都在列表中。

对于加密开发人员来说，该恶意软件专门攻击 .env 文件。它们通常持有私钥、RPC 节点凭证并交换 API 秘密。

为了窃取被盗数据，有效负载使用 DNS 隧道。它基本上将文件隐藏在看起来正常的互联网查找请求中。大多数网络安全工具都无法捕捉到这一点。

安全团队表示，任何在这两个小时内运行 npm install 或具有自动更新依赖项的项目都应该采取妥协措施。

根据 SlowMist 的指导，立即采取的步骤：

检查 node-ipc 版本 9.1.6、9.2.3 或 12.0.1 的锁定文件。

回滚到您知道安全的最后一个版本。

更改所有可能泄露的凭据。

2026 年，针对 npm 的供应链攻击已成为常态。加密货币项目受到的打击比大多数项目都要严重，因为被盗的登录信息可以很快变成赃款。