82.2 萬次下載面臨風險：發現惡意 node-ipc 版本竊取 AWS 與私鑰

📄完整原文· 由 trafilatura 自動擷取Gemini 翻譯2827 字

node-ipc 是 Web3 建構流程中廣泛使用的基礎 Node.js 函式庫，其三個惡意版本已於 5 月 14 日確認遭到入侵，資安公司 Slowmist 警告，依賴該套件的加密貨幣開發者面臨立即的憑證竊取風險。 82.2 萬次下載恐受波及：發現惡意 node-ipc 版本竊取 AWS 及私鑰重點摘要開發者機密岌岌可危區塊鏈資安公司 Slowmist 透過其 Misteye 威脅情報系統揭露此次攻擊，識別出三個惡意發行版本，分別為 9.1.6、9.2.3 及 12.0.1。node-ipc 套件用於在 Node.js 環境中啟用行程間通訊（IPC），廣泛內嵌於整個加密生態系的去中心化應用程式（dApp）建構流程、CI/CD 系統及開發者工具中。該套件每週平均下載次數超過 822,000 次，使攻擊面相當龐大。三個惡意版本各自在套件的 CommonJS bundle 後附加了相同的 80 KB 混淆過的 payload。該程式碼會在每次 require('node-ipc') 呼叫時無條件觸發，意味著任何安裝或更新至受感染版本的專案都會自動執行竊取程式，無需任何使用者互動。惡意程式竊取的內容內嵌的 payload 鎖定超過 90 類開發者與雲端憑證，包括 Amazon Web Services（AWS）token、Google Cloud 與 Microsoft Azure 機密、SSH 金鑰、Kubernetes 設定、Github CLI token 及 shell 歷史記錄檔。與加密貨幣領域密切相關的是，該惡意程式鎖定 .env 檔案，這類檔案經常儲存私鑰、RPC 節點憑證及交易所 API 機密。被竊取的資料透過 DNS 隧道技術外傳，將檔案經由 Domain Name System 查詢路由出去，以規避標準的網路監控工具。 Stepsecurity 的研究人員證實，攻擊者從未動過 node-ipc 的原始程式碼庫。相反地，他們透過重新註冊一個休眠維護者帳號已過期的電子郵件網域，藉此進行攻擊。網域 atlantis-software.net 於 2025 年 1 月 10 日到期，攻擊者於 2026 年 5 月 7 日透過 Namecheap 重新註冊該網域。隨後他們觸發標準的 npm 密碼重設流程，在原始維護者毫不知情的情況下取得完整的發布權限。這些惡意版本在 registry 上存活約兩小時後才被偵測並移除。任何在此期間執行 npm install 或自動更新依賴套件的專案都應視為可能已遭入侵。資安團隊建議立即稽核 lock 檔案中是否含有 node-ipc 的 9.1.6、9.2.3 或 12.0.1 版本，並回滾至最後一個經驗證的乾淨版本。針對 npm 生態系的供應鏈攻擊已於 2026 年成為持續性的威脅，加密貨幣專案因其憑證可直接提供金融資產存取權限，成為高價值的攻擊目標。

資料狀態✓ 已擷取全文閱讀原文（Bitcoin.com）

🔍歷史類似事件· 關鍵字 + 標的比對3 則

2026-05-28

匿名原告尋求對 2,930 億美元休眠 Bitcoin 的法定所有權，且未持有任何私鑰

相似度 130%關鍵字 keys/private

2026-05-22

THORChain 遭駭與惡意節點及 GG20 漏洞有關

相似度 130%關鍵字 node/malicious

2026-04-23

Bitwarden CLI 供應鏈攻擊導致 Crypto Wallet 金鑰面臨風險

相似度 100%關鍵字 keys/risk

💡 目前用關鍵字 + 標的比對（MVP）· 之後會升級為 embedding 語意搜尋

原始資訊

ID：e3297412a8

來源：Bitcoin.com

發佈：2026-05-15 10:30:52

分類：一般 · 導出分類 neutral

標的：未指定

社群投票：+0 / −0 · ⭐ 0 重要 · 💬 0 留言