Node-ipc供應鏈攻擊瞄準加密貨幣開發者

據 SlowMist 報道，5 月 14 日，三個被植入惡意代碼的 node-ipc 版本上線 npm 註冊表。 攻擊者劫持了一個不常用的維護者賬戶，並推送了旨在竊取開發者dent、私鑰、交換 API 密鑰等所有信息的惡意代碼，這些代碼直接來自 .env 文件。

node-ipc 是一個流行的 Node.js 包，它允許不同的程序在同一臺機器上相互通信，有時也可以通過網絡進行通信。.

SlowMist 抓住了缺口

區塊鏈安全公司 SlowMist 通過其 MistEye 威脅情報系統發現了此次安全漏洞。.

版本 9.1.6、9.2.3 和 12.0.1

MistEye 發現了三個惡意版本，其中包括：

• 版本 9.1.6。.
• 版本 9.2.3。.
• 版本 12.0.1。.

以上所有版本都攜帶了相同的混淆後的 80 KB 有效載荷。.

Node-ipc 負責 Node.js 中的進程間通信。它主要幫助 Node.js 程序之間互發消息。每週有超過 82.2 萬用戶下載它。.

Node-ipc 在加密領域被廣泛使用。它被用於開發者構建 dApp 的系統matic（CI/CD）中，也被用於日常的開發者工具中。

每個受感染的版本都被植入了相同的隱藏惡意代碼。一旦任何程序加載了 node-ipc，該代碼就會matic運行。.

StepSecurity 的研究人員弄清了此次攻擊是如何發生的。node-ipc 的原始開發者曾使用過一個與 atlantis-software[.]net 域名關聯的電子郵件地址。然而，該域名已於 2025 年 1 月 10 日過期。.

2026年5月7日，攻擊者通過Namecheap購買了同一個域名，從而控制了開發者的舊郵箱。之後，他們只需在npm上點擊“忘記密碼”，重置密碼，就能輕鬆獲得發佈node-ipc新版本的全部權限。.

真正的開發者對這一切毫不知情。惡意版本在被移除前存活了大約兩個小時。.

竊賊尋找90歲以上的dent類型

嵌入式有效載荷會搜尋超過 90 種類型的開發者和雲dent。AWS 令牌、Google Cloud 和 Azure 密鑰、SSH 密鑰、Kubernetes 配置、GitHub CLI 令牌等等，都在搜尋之列。.

對於 加密貨幣開發者而言，這種惡意軟件專門攻擊 .env 文件。這些文件通常包含私鑰、RPC 節點憑據dent交換 API 密鑰。

爲了偷偷竊取的數據，攻擊者利用了DNS隧道技術。它將文件隱藏在看似正常的互聯網查詢請求中。大多數網絡安全工具都無法檢測到這種攻擊。.

安全團隊表示，任何在兩小時窗口期內運行過 npm install 或自動更新過依賴項的項目都應該假定自身已受到攻擊。

根據SlowMist的指導，立即採取以下措施：

• 檢查 node-ipc 版本 9.1.6、9.2.3 或 12.0.1 的鎖定文件。.
• 回滾到你確定安全的最後一個版本。.
• 更換所有可能泄露信息的dent。.

2026年，針對npm的供應鏈攻擊已成爲常態。加密貨幣項目受到的打擊比大多數項目都大，因爲被盜的登錄信息可以迅速轉化爲被盜資金。.

如果你正在閱讀這篇文章，你已經領先一步了。 訂閱我們的新聞簡報，繼續保持領先優勢。