周下载超 69 万次:热门 npm 包 node-ipc 被投毒,可窃取密码等敏感信息

感谢视野AI网友 阿狗 的线索投递!

视野AI 5 月 16 日消息,科技媒体 NeoWin 昨日(5 月 15 日)发布博文,报道称 npm 热门包 node-ipc 遭遇新的供应链攻击,多个新发布版本被植入信息窃取恶意代码。

视野AI注:node-ipc 是一个 Node.js 模块,支持 Unix、Windows、UDP、TLS 和 TCP 等多种套接字通信。

这个进程间通信包在 npm 上每周下载量仍超过 690000 次,有大量项目依赖该工具包,该媒体指出这次事件的影响不只局限于单个开发者,更可能沿依赖链向下游扩散。

目前已确认以下 3 个版本为恶意版本:

  • node-ipc@9.1.6

  • node-ipc@9.2.3

  • node-ipc@12.0.1

多家应用安全公司称,攻击者在新发布版本中植入了凭证窃取恶意代码。由于这段代码藏在 CommonJS 入口文件 node-ipc.cjs 中,应用一旦加载相关版本,恶意程序就会自动执行,风险直接落到开发机、CI 环境和服务器上。

研究人员溯源指出最新恶意版本的攻击路径,疑似来自外部攻击者入侵了一名不活跃维护者 atiertant 的账户。恶意代码经过深度混淆,会先识别受感染系统,再收集环境变量、本地敏感文件和多类访问凭证。

node-ipc 攻击流程概览

目标包括 AWS、Azure、GCP、OCI、DigitalOcean 等云凭证,也包括 SSH 密钥、Kubernetes、Docker、Helm、Terraform 凭证,以及 npm、GitHub、GitLab 和 Git CLI 等 Token。

恶意程序还会搜集 .env 文件、数据库凭证、Shell 历史记录、CI / CD 机密、macOS Keychain 文件、Linux keyring,以及 Firefox 配置数据、Microsoft Teams 本地存储和 IndexedDB 路径。

为了提高效率并减少主机上的异常痕迹,恶意程序会跳过大于 4 MiB 的文件,也不会扫描 .git 和 node_modules 目录。窃取到的数据会先压缩成 tar.gz 临时归档,传完后再删除。

这次攻击一个更隐蔽的点在于外传方式。攻击者没有使用常见的 HTTP 指挥控制流量,而是改用 DNS TXT 查询传数据,并借助伪装成 Azure 相关的域名启动解析流程。

Socket 估算,若外传一个 500 KB 的压缩包,大约会生成 29400 次 DNS TXT 请求,这类流量更容易混在正常 DNS 活动里,增加排查难度。

这个恶意程序目前没有建立持久化机制,也不会下载第二阶段载荷,目标看起来更偏向“快偷快走”。

相关阅读:

  • 《npm 生态遭大范围投毒:TanStack、Mistral AI、UiPath 等受波及,可窃取云密钥与 GitHub 令牌》

  • 《主流 JavaScript 库 Axios 遭劫持,npm 被恶意注入远程控制木马》

  • 《Bitwarden CLI npm 包遭供应链攻击:影响约 1.5 小时,可窃取开发者凭证》

  • 《npm 史上最大规模垃圾包攻击之一:15 万恶意包被用于“挖矿”》

广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,视野AI所有文章均包含本声明。

相关推荐:

苹果起诉 OpenAI,指控其挖角前员工窃取未发布产品、供应链资料等商业机密

感谢网友对的时间点、Nuc_F、麻辣清补凉、不一样的体验、乌蝇哥的左手的线索投递! 7月11日消息,据彭博社报道,苹果已于当地时间周五在美国加州北区联邦法院起诉OpenAI,指控该公司数名员工窃取未发布产品、零部件和供应商关系等高级商业机密。苹果在诉状中表示,OpenAI硬件负责人、前苹果设计师Ta...

Steam 壁纸引擎被黑客利用,“带毒壁纸”可窃取玩家账号

感谢视野AI网友Coje_He的线索投递! 视野AI6月18日消息,如果你正在使用壁纸引擎(WallpaperEngine),现在需要提高警惕。卡巴斯基安全研究人员发现,黑客正将恶意程序藏匿于创意工坊(SteamWorkshop)的壁纸安装包内,借此窃取用户的Steam账号,并在受害者电脑中植入更多...

豆包AI在处理敏感话题比如政治宗教方面的内容审核机制是怎么运作的?

豆包AI对政治宗教类提问采用强前置式安全干预机制,通过语义风险分类、多模态校验、人工复核闭环及COSTAR框架约束,确保合规优先、事实次之。 ☞☞☞AI智能聊天,问答助手,AI智能搜索,多模态理解力帮你轻松跨越从0到1的创作门槛☜☜☜ 如果您向豆包AI提出涉及政治、宗教等议题的提问,但系统未按预期提...

CodeBuddy怎么做代码中敏感信息的检测比如硬编码的密码和密钥?

检测代码中硬编码敏感信息的五种方法:一、用Semgrep等静态分析工具扫描关键词及赋值模式;二、用Python正则脚本递归匹配高风险字面量;三、通过pre-commit钩子在提交前拦截;四、借助VSCode插件实时高亮提示;五、在CI流水线(如GitHubActions)中自动化检查并阻断不安全合并...

Canva可画AI内容创作热门方向

Canva可画AI聚焦节气节日海报、社交平台专属内容、中小商家日常运营及跨市场本地化四大方向。支持一键生成多风格模板、多平台适配设计、全元素可编辑及多语言文化适配,大幅提升非专业用户设计效率。 ☞☞☞AI智能聊天,问答助手,AI智能搜索,多模态理解力帮你轻松跨越从0到1的创作门槛☜☜☜ Canva可...

QoderWake脚本加密分享:保护你的核心代码不被他人窃取

QoderWake脚本防窃取有五种加密方法:一、启用内置源码混淆与运行时加密;二、用V8Snapshot封装JS逻辑;三、AES-256-GCM加密绑定沙盒ID动态解密;四、SourceLock代理层实现开发与运行双隔离;五、eBPF级加载拦截与字节码校验。 ☞☞☞AI智能聊天,问答助手,AI智能搜...

谷歌重拳治理“AI 投毒”:GEO 垃圾内容将遭降权与移除

☞☞☞AI智能聊天,问答助手,AI智能搜索,多模态理解力帮你轻松跨越从0到1的创作门槛☜☜☜ 5月中旬,谷歌面向生成式搜索生态推出全新治理规范。本轮政策调整的关键,在于将“生成式引擎优化(GEO)”所涵盖的恶意干扰行为,明确定性为“垃圾内容”。此举意味着谷歌正式对那些企图通过预先批量伪造、污染信息流...

公安部:拟明确刑事案件电子数据取证中获取密码等特殊程序

感谢视野AI网友HH_KK、pgb、不一样的体验、若怡、西窗的线索投递! 视野AI5月22日消息,今日,公安部拟对《公安机关办理刑事案件电子数据取证规则》进行修订,起草了《公安机关电子数据取证规则(征求意见稿)》,并向社会公开征求意见,意见反馈截止时间为2026年6月21日。视野AI查询获悉,与《公...