82.2万次下载面临风险：发现恶意版本的 node-ipc 正在窃取 AWS 密钥和私钥

• 关键要点：</span></p>
• <ul>
• <li><span style="font-weight: 400;"> Slowmist 于 5 月 14 日发现三个恶意版本的 node-ipc，这些版本针对每周超过 82.2 万次的 npm 下载。</span></li>
• <li><span style="font-weight: 400;"> 该80KB有效载荷通过DNS隧道窃取90多种凭证类别，包括AWS密钥和.env文件。</span></li>
• <li><span style="font-weight: 400;"> 开发者必须立即锁定干净的 node-ipc 版本，并轮换所有可能已泄露的密钥。</span></li>
• </ul>
• <p><span style="font-weight: 400;">

开发者密钥岌岌可危

区块链安全公司 Slowmist 通过其 Misteye 威胁情报系统发现了此次攻击，并识别出三个恶意版本，即 9.1.6、9.2.3 和 12.0.1。 node-ipc 包用于在 Node.js 环境中实现进程间通信（IPC），广泛嵌入加密生态系统中的去中心化应用（dApp）构建管道、CI/CD 系统及开发工具中。

该包每周平均下载量超过 82.2 万次，这使得攻击面相当庞大。这三个恶意版本各自携带一个相同的 80 KB 混淆有效载荷，该载荷附加在包的 CommonJS 打包文件末尾。该代码会在每次 require('node-ipc') 调用时无条件触发，这意味着任何安装或更新至受感染版本的项目都会自动运行该窃取程序，无需任何用户交互。

恶意软件窃取的目标

嵌入的有效载荷针对 90 多个类别的开发者和云凭证，包括亚马逊网络服务 (AWS) 令牌、Google Cloud 和 Microsoft Azure 密钥、SSH 密钥、Kubernetes 配置、Github CLI 令牌以及 shell 历史记录文件。与加密货币领域相关的是，该恶意软件专门针对 .env 文件，这些文件通常存储私钥、RPC 节点凭证和交易所 API 密钥。 窃取的数据通过 DNS 隧道外泄，利用域名系统查询传输文件以规避标准网络监控工具。 Stepsecurity 的研究人员证实，攻击者

从未触碰过 node-ipc 的原始代码库。相反，他们通过重新注册其已过期的电子邮件域名，利用了一个休眠的维护者账户。

域名 atlantis-software.net 原定于 2025 年 1 月 10 日过期，攻击者于 2026 年 5 月 7 日通过 Namecheap 将其重新注册。随后，他们触发标准 npm 密码重置流程，在原始维护者毫不知情的情况下获得了完整的发布权限。

这些恶意版本在注册库中存活了约两小时，随后被检测并移除。在此期间执行过 npm install 或自动更新依赖项的任何项目，均应视为可能已受感染。安全团队建议立即对 node-ipc 的 9.1.6、9.2.3 或 12.0.1 版本进行锁定文件审计，并回滚至最后一个经过验证的干净版本。

2026年，针对npm生态系统的供应链攻击已成为一种持续性威胁，加密货币项目因其凭证可直接获取资金而成为高价值目标。