文章总结： 文档披露两起软件供应链攻击事件：网络犯罪团伙TeamPCP以1000美元奖金举办开源包劫持竞赛，利用工具Shai-Hulud众包攻击以扩展其访问代理管道；同时，周下载量超82万的npm包node-ipc再次被攻陷，攻击者通过接管休眠维护者账户植入混淆后门，窃取AWS、GitHub等敏感信息并通过DNSTXT查询外泄。事件揭示供应链攻击手法持续演化，建议加强维护者账户安全监控与依赖库审计。 综合评分： 82 文章分类： 供应链安全,恶意软件,漏洞分析,安全运营,威胁情报

黑客团伙设赌注发动供应链攻击竞赛；node-ipc npm 包再受陷

综合编译 综合编译

代码卫士

2026年5月15日 14:35 北京

在小说阅读器读本章

去阅读

 聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

专栏·供应链安全

数字化时代，软件无处不在。软件如同社会中的“虚拟人”，已经成为支撑社会正常运转的最基本元素之一，软件的安全性问题也正在成为当今社会的根本性、基础性问题。

随着软件产业的快速发展，软件供应链也越发复杂多元，复杂的软件供应链会引入一系列的安全问题，导致信息系统的整体安全防护难度越来越大。近年来，针对软件供应链的安全攻击事件一直呈快速增长态势，造成的危害也越来越严重。

为此，我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯，分析供应链安全风险，提供缓解建议，为供应链安全保驾护航。

注：以往发布的部分供应链安全相关内容，请见文末“推荐阅读”部分。

网络犯罪团伙正将开源供应链攻击变成一场扭曲的竞赛；广为使用的 JavaScript 进程间通信库再被武器化。如下是对这两则软件供应链攻击事件的概述。

赌注为1000美元的供应链攻击竞赛

网络犯罪组织 TeamPCP 在长期渗透安全工具、CI/CD 管道及 npm、PyPI 等包管理器后，近期与 BreachForums 合作举办了一场扭曲的竞赛：参赛者需使用开源攻击工具 Shai-Hulud 尽可能多地劫持开源软件包，按每周和每月下载量计分，允许合并多个小包的下载量以鼓励无差别传播，奖金仅为 1000 美元门罗币。安全专家认为，这一低额奖金实为招募低层黑客的噱头，诱使其为名声而浪费高价值访问权限；TeamPCP 借此众包攻击，让新手完成重活，自己坐享被入侵基础设施的更大收益。该组织已有攻击关键基础设施和 GitHub Actions 等记录，近期更与勒索团伙 Vect 合作，凭据窃取已影响 AI 公司、政府云服务、制造业等。通过开源 Shai-Hulud，TeamPCP 扩展了其访问代理管道，虽千元奖金难吸引顶级黑客，却给开源生态带来了危险的跟风攻击浪潮。

利用休眠维护者账号，再次攻陷Node-ipc npm 包

继2022年之后，周下载量超82万的npm包node-ipc再次遭受供应链攻击。攻击者通过接管一个已休眠多年的维护者账户 “atiertant” 实现入侵。他们获取了该账户关联的已过期恢复邮箱域名（atlantis-software[.]net），利用npm标准密码重置流程获得发布权限，全程无需触碰原始维护者的基础设施。受影响版本为[email protected], [email protected], and [email protected]。

三个受影响版本在CommonJS入口文件node-ipc.cjs中嵌入了混淆的后门负载。加载模块后，负载会派生子进程对主机进行指纹识别，从100多种目标模式中窃取AWS、Azure、GCP、K8s、Docker、SSH密钥、npm token、GitHub/GitLab凭据、.env文件等敏感信息，归档后通过DNS TXT查询（而非HTTP）伪装成Azure仿冒域名进行数据外泄。一个500KiB的压缩包约产生29400次DNS查询。使用require(“node-ipc”) 的开发者受影响，纯ESM使用者则相对安全。被窃数据归档的每个文件均带有1985年10月26日的取证时间戳，可作为识别缓存/镜像副本的依据。

开源卫士试用地址：https://sast.qianxin.com/#/login

代码卫士试用地址：https://codesafe.qianxin.com

推荐阅读

在线阅读版：《2025中国软件供应链安全分析报告》全文

TeamPCP再发动供应链攻击；数百个恶意包被上传，RubyGems 暂停新账号注册

Checkmarx 再遭攻击，Jenkins AST 插件受陷

Go 流行库 fsnotify 的维护人员访问权限变更，拉响供应链攻击警报

Gemini CLI 严重漏洞可触发 RCE 攻击和软件供应链风险

自传播供应链蠕虫劫持 npm 包，窃取开发人员令牌

Axios 严重漏洞可导致 RCE

Trivy供应链攻击触发CanisterWorm 在47个 npm 包中自传播

热门包管理器中存在多个漏洞，JavaScript 生态系统易受供应链攻击

开源自托管平台 Coolify 修复11个严重漏洞，可导致服务器遭完全攻陷

得不到就毁掉：第二轮Sha1-Hulud供应链攻击已发起，影响2.5万+仓库

vLLM 高危漏洞可导致RCE

开源AI框架 Ray 的0day已用于攻陷服务器和劫持资源

热门 React Native NPM 包中存在严重漏洞，开发人员易受攻击

10个npm包被指窃取 Windows、macOS 和 Linux 系统上的开发者凭据

热门 React Native NPM 包中存在严重漏洞，开发人员易受攻击

热门NPM库 “coa” 和“rc” 接连遭劫持，影响全球的 React 管道

开发人员注意：VSCode 应用市场易被滥用于托管恶意扩展

GitHub Copilot 严重漏洞可导致私有仓库源代码被盗

受 Salesforce 供应链攻击影响，全球汽车巨头 Stellantis 数据遭泄露

捷豹路虎数据遭泄露生产仍未恢复，幕后黑手或与 Salesforce-Salesloft 供应链攻击有关

十几家安全大厂信息遭泄露，谁是 Salesforce-Salesloft 供应链攻击的下一个受害者？

原文链接

TeamPCP and BreachForums Hackers Running $1,000 Contest for Supply Chain Attacks

node-ipc npm Package with 822K Weekly Downloads Compromised in Supply Chain Attack

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 “赞” 吧~

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：代码卫士 综合编译 综合编译《黑客团伙设赌注发动供应链攻击竞赛；node-ipc npm 包再受陷》