Node-ipc供应链攻击瞄准加密货币开发者
据 SlowMist 报道,5 月 14 日,三个被植入恶意代码的 node-ipc 版本上线 npm 注册表。 攻击者劫持了一个不常用的维护者账户,并推送了旨在窃取开发者dent、私钥、交换 API 密钥等所有信息的恶意代码,这些代码直接来自 .env 文件。
node-ipc 是一个流行的 Node.js 包,它允许不同的程序在同一台机器上相互通信,有时也可以通过网络进行通信。.
SlowMist 抓住了缺口
区块链安全公司 SlowMist 通过其 MistEye 威胁情报系统发现了此次安全漏洞。.
版本 9.1.6、9.2.3 和 12.0.1
MistEye 发现了三个恶意版本,其中包括:
- 版本 9.1.6。.
- 版本 9.2.3。.
- 版本 12.0.1。.
以上所有版本都携带了相同的混淆后的 80 KB 有效载荷。.
Node-ipc 负责 Node.js 中的进程间通信。它主要帮助 Node.js 程序之间互发消息。每周有超过 82.2 万用户下载它。.
Node-ipc 在加密领域被广泛使用。它被用于开发者构建 dApp 的系统matic(CI/CD)中,也被用于日常的开发者工具中。
每个受感染的版本都被植入了相同的隐藏恶意代码。一旦任何程序加载了 node-ipc,该代码就会matic运行。.
StepSecurity 的研究人员弄清了此次攻击是如何发生的。node-ipc 的原始开发者曾使用过一个与 atlantis-software[.]net 域名关联的电子邮件地址。然而,该域名已于 2025 年 1 月 10 日过期。.
2026年5月7日,攻击者通过Namecheap购买了同一个域名,从而控制了开发者的旧邮箱。之后,他们只需在npm上点击“忘记密码”,重置密码,就能轻松获得发布node-ipc新版本的全部权限。.
真正的开发者对这一切毫不知情。恶意版本在被移除前存活了大约两个小时。.
窃贼寻找90岁以上的dent类型
嵌入式有效载荷会搜寻超过 90 种类型的开发者和云dent。AWS 令牌、Google Cloud 和 Azure 密钥、SSH 密钥、Kubernetes 配置、GitHub CLI 令牌等等,都在搜寻之列。.
对于 加密货币开发者而言,这种恶意软件专门攻击 .env 文件。这些文件通常包含私钥、RPC 节点凭据dent交换 API 密钥。
为了偷偷窃取的数据,攻击者利用了DNS隧道技术。它将文件隐藏在看似正常的互联网查询请求中。大多数网络安全工具都无法检测到这种攻击。.
安全团队表示,任何在两小时窗口期内运行过 npm install 或自动更新过依赖项的项目都应该假定自身已受到攻击。
根据SlowMist的指导,立即采取以下措施:
- 检查 node-ipc 版本 9.1.6、9.2.3 或 12.0.1 的锁定文件。.
- 回滚到你确定安全的最后一个版本。.
- 更换所有可能泄露信息的dent。.
2026年,针对npm的供应链攻击已成为常态。加密货币项目受到的打击比大多数项目都大,因为被盗的登录信息可以迅速转化为被盗资金。.
如果你正在阅读这篇文章,你已经领先一步了。 订阅我们的新闻简报,继续保持领先优势。
