--- title: "Node-ipc 供应链攻击瞄准加密货币开发者" type: "News" locale: "zh-CN" url: "https://longbridge.com/zh-CN/news/286626888.md" description: "供应链攻击瞄准了流行的 Node.js 包 node-ipc,攻击者劫持了一个闲置的 npm 维护者账户,发布了三个恶意版本(9.1.6、9.2.3、12.0.1),这些版本会窃取敏感的开发者凭证和加密密钥。该漏洞由 SlowMist 发现,恶意代码在被移除前活跃了大约两个小时。建议开发者检查这些版本并更改任何可能被泄露的凭证" datetime: "2026-05-16T00:52:32.000Z" locales: - [zh-CN](https://longbridge.com/zh-CN/news/286626888.md) - [en](https://longbridge.com/en/news/286626888.md) - [zh-HK](https://longbridge.com/zh-HK/news/286626888.md) --- # Node-ipc 供应链攻击瞄准加密货币开发者 **根据 SlowMist 的报告,三个被污染的 node-ipc 版本于 5 月 14 日在 npm 注册表上线。** **攻击者劫持了一个闲置的维护者账户,并推送了旨在窃取开发者凭证、私钥、交易所 API 密钥等信息的代码,直接从 .env 文件中提取。** node-ipc 是一个流行的 Node.js 包,允许不同程序在同一台机器上或有时跨网络进行通信。 ### SlowMist 发现了这一漏洞 区块链安全公司 SlowMist 通过他们的 MistEye 威胁情报系统发现了这一漏洞。 版本 9.1.6、9.2.3 和 12.0.1 MistEye 发现了三个恶意版本,包括: - 版本 9.1.6。 - 版本 9.2.3。 - 版本 12.0.1。 上述所有版本都携带相同的混淆 80 KB 有害负载。 Node-ipc 处理 Node.js 中的进程间通信。它基本上帮助 Node.js 程序相互发送消息。每周有超过 822,000 人下载它。 Node-ipc 在整个加密领域被广泛使用。它用于开发者构建去中心化应用程序(dApps)的工具中,在自动测试和部署代码的系统(CI/CD)中,以及日常开发者工具中。 每个受感染的版本都附加了相同的隐藏恶意代码。任何程序加载 node-ipc 的瞬间,代码就会自动运行。 来自 MistyEye 的截图,显示恶意的 node-ipc 包。来源:SlowMist via X。 StepSecurity 的研究人员弄清楚了攻击是如何发生的。node-ipc 的原始开发者有一个与域名 atlantis-software\[.\] net 相关的电子邮件地址。然而,该域名于 2025 年 1 月 10 日过期。 在 2026 年 5 月 7 日,攻击者通过 Namecheap 购买了相同的域名,从而控制了开发者的旧电子邮件。随后,他们在 npm 上点击 “忘记密码”,重置密码,顺利进入并获得发布新版本 node-ipc 的完全权限。 真正的开发者对此毫不知情。恶意版本在被移除之前持续在线约两个小时。 ### 窃取者寻找 90 种以上的凭证类型 嵌入的负载会搜索超过 90 种开发者和云凭证。AWS 令牌、Google Cloud 和 Azure 秘密、SSH 密钥、Kubernetes 配置、GitHub CLI 令牌,全部在列表之中。 对于加密开发者,恶意软件特别会攻击 .env 文件。这些文件通常包含私钥、RPC 节点凭证和交易所 API 秘密。 为了悄悄地将被窃取的数据传出,负载使用 DNS 隧道。它基本上将文件隐藏在正常的互联网查询请求中。大多数网络安全工具无法捕捉到这一点。 安全团队表示,任何在这两个小时内运行过 `npm install` 或自动更新依赖项的项目都应该假设已被攻破。 根据 SlowMist 的指导,立即采取的步骤: - 检查锁定文件中是否有 node-ipc 版本 9.1.6、9.2.3 或 12.0.1。 - 回滚到您知道是安全的最后一个版本。 - 更改所有可能泄露的凭证。 2026 年,针对 npm 的供应链攻击已成为常态。加密项目受到的打击比大多数项目更严重,因为被盗的登录信息可以迅速转化为被盗资金。 最聪明的加密头脑已经阅读了我们的通讯。想加入他们吗? ### 相关股票 - [RIOT.US](https://longbridge.com/zh-CN/quote/RIOT.US.md) - [COIN.US](https://longbridge.com/zh-CN/quote/COIN.US.md) - [HUT.US](https://longbridge.com/zh-CN/quote/HUT.US.md) - [BITF.US](https://longbridge.com/zh-CN/quote/BITF.US.md) - [BTBT.US](https://longbridge.com/zh-CN/quote/BTBT.US.md) - [BLOK.US](https://longbridge.com/zh-CN/quote/BLOK.US.md) - [LMBO.US](https://longbridge.com/zh-CN/quote/LMBO.US.md) - [BTCO.US](https://longbridge.com/zh-CN/quote/BTCO.US.md) - [LEGR.US](https://longbridge.com/zh-CN/quote/LEGR.US.md) - [COIG.US](https://longbridge.com/zh-CN/quote/COIG.US.md) - [MST.US](https://longbridge.com/zh-CN/quote/MST.US.md) - [HODL.US](https://longbridge.com/zh-CN/quote/HODL.US.md) - [FBTC.US](https://longbridge.com/zh-CN/quote/FBTC.US.md) - [CONI.US](https://longbridge.com/zh-CN/quote/CONI.US.md) - [BITB.US](https://longbridge.com/zh-CN/quote/BITB.US.md) - [IBIT.US](https://longbridge.com/zh-CN/quote/IBIT.US.md) - [MSTP.US](https://longbridge.com/zh-CN/quote/MSTP.US.md) - [CONL.US](https://longbridge.com/zh-CN/quote/CONL.US.md) - [BTCW.US](https://longbridge.com/zh-CN/quote/BTCW.US.md) - [MRAL.US](https://longbridge.com/zh-CN/quote/MRAL.US.md) - [RIOX.US](https://longbridge.com/zh-CN/quote/RIOX.US.md) - [MSOO.US](https://longbridge.com/zh-CN/quote/MSOO.US.md) ## 相关资讯与研究 - [Altman 拿 Token 换股权只够烧 45 天,20 亿 Token 捐母校只值 100 块:Token 真成 “钱” 了,谁更赚?](https://longbridge.com/zh-CN/news/287035294.md) - [诉讼阴霾消散!马斯克告败,OpenAI 扫清最大障碍直指 “世纪 IPO”](https://longbridge.com/zh-CN/news/287018534.md) - [HASHKEY HLDGS 拟出资 2000 万美元参与 SignalPlus 的 B+ 轮投资](https://longbridge.com/zh-CN/news/287057133.md) - [Bee Network celebrates its sixth "Bee's Day": opening 100,000 KYC slots and betting on AI games and prediction markets.](https://longbridge.com/zh-CN/news/287029478.md) - [趋境科技 Pre-A 轮拿数亿,抢滩 Token 基础服务](https://longbridge.com/zh-CN/news/287021057.md)