82.2 万次下载面临风险：恶意 node-ipc 版本被发现窃取 AWS 和私钥

📄完整原文· 由 trafilatura 自动抓取Gemini 翻譯2827 字

5月14日，三個被植入惡意代碼的node-ipc版本被確認遭到入侵。node-ipc是Web3構建管線中廣泛使用的基礎Node.js函式庫，安全公司Slowmist警告依賴該套件的加密貨幣開發者面臨即時的憑證竊取風險。 82.2萬次下載量處於風險之中：惡意node-ipc版本被發現竊取AWS和私鑰重點摘要開發者機密岌岌可危區塊鏈安全公司Slowmist透過其Misteye威脅情報系統標記了此次攻擊，識別出三個惡意發布版本，分別是9.1.6、9.2.3和12.0.1版本。node-ipc套件用於在Node.js環境中實現進程間通訊（IPC），廣泛嵌入於整個加密生態系統的去中心化應用程式（dApp）構建管線、CI/CD系統以及開發者工具鏈中。該套件平均每週下載量超過82.2萬次，使得攻擊面相當龐大。三個惡意版本各自附帶了一段相同的80 KB混淆代碼，被植入到套件的CommonJS套件包中。該代碼會在每次require('node-ipc')調用時無條件觸發，這意味著任何安裝或更新到受污染版本的項目都會自動運行此竊取程序，無需任何用戶交互。惡意軟體竊取了什麼嵌入的惡意代碼針對超過90類開發者和雲端憑證，包括Amazon Web Services（AWS）令牌、Google Cloud和Microsoft Azure機密、SSH密鑰、Kubernetes配置、Github CLI令牌以及shell歷史記錄文件。與加密貨幣領域相關的是，該惡意軟體針對.env文件，這些文件通常存儲私鑰、RPC節點憑證和交易所API密鑰。被竊取的數據透過DNS隧道進行外洩，將文件透過域名系統查詢進行路由傳輸，以規避標準的網絡監控工具。 Stepsecurity的研究人員證實，攻擊者從未觸碰過node-ipc的原始代碼庫。相反地，他們利用了一個休眠維護者帳戶，透過重新註冊其已過期的電子郵件域名來實施攻擊。 atlantis-software.net域名於2025年1月10日過期，攻擊者於2026年5月7日透過Namecheap重新註冊了該域名。他們隨後觸發了一次標準的npm密碼重置，在原維護者毫不知情的情況下獲得了完整的發布權限。這些惡意版本在被檢測並移除之前，在註冊表上存活了大約兩個小時。在該時間窗口內運行過npm install或自動更新過依賴項的任何項目，都應視為可能已遭到入侵。安全團隊建議立即審查鎖定文件，查找node-ipc的9.1.6、9.2.3或12.0.1版本，並回退到最後一個經過驗證的乾淨版本。針對npm生態系統的供應鏈攻擊在2026年已成為持續性威脅，加密貨幣項目因其憑證可提供直接的資金訪問權限而成為高價值目標。

数据状态✓ 已抓取全文阅读原文（Bitcoin.com）

🔍历史类似事件· 关键词 + 标的比对2 则

2026-05-22

THORChain 漏洞利用与恶意节点及 GG20 缺陷有关

相似度 130%關鍵字 node/malicious

2026-04-23

Bitwarden CLI 供应链攻击导致 Crypto 钱包密钥面临风险

相似度 100%關鍵字 risk/keys

💡 目前用关键词 + 标的比对（MVP）· 之后会升级为 embedding 语义搜寻

原始信息

ID：e3297412a8

来源：Bitcoin.com

发布：2026-05-15 10:30:52

分类：一般 · 导出分类 neutral

标的：未指定

社群投票：+0 / −0 · ⭐ 0 重要 · 💬 0 留言