文章总结: 2026年5月14日安全研究人员发现node-ipc三个npm版本遭供应链攻击,攻击者通过劫持维护者账户发布恶意代码,窃取SSH密钥、云凭证等敏感信息并通过DNS隧道外泄。文档详细分析了攻击手法、恶意载荷行为,并提供了版本排查、凭证轮换等具体缓解措施。 综合评分: 88 文章分类: 供应链安全,恶意软件,漏洞预警,安全运营,数据安全
node-ipc再遭投毒:npm供应链攻击第二波
原创
Red Hunter Red Hunter
黑白之道
2026年5月16日 09:24 江西
在小说阅读器读本章
去阅读
导语:2026年5月14日,安全研究人员发现node-ipc的三个npm版本已被植入恶意代码,与2023年首发的那次类似,本次仍是账户劫持路径——攻击者获取了一个已注销邮箱域名后重置账户密码,直接发布了恶意版本。
事件概述
5月14日,Socket Security、StepSecurity、Datadog安全实验室等多个团队几乎同时确认:[email protected]、9.2.3、12.0.1三个版本存在恶意载荷。该包每周下载量约82.2万次,受波及范围极广。
这次投毒手法与2023年首次遭袭高度相似,属于”睡莲叶”(Lily Pad)攻击模式——攻击者不是伪造新包名(如typosquatting),而是直接盯上活跃维护者的账号权限,通过劫持域名逆向接管。
攻击手法还原
- 账户劫持:攻击者发现并注册了一个曾属于维护者、现已注销的邮箱域名,利用密码重置功能重置了npm账户。
- 版本发布:以合法维护者身份,在npm仓库发布了上述三个含恶意代码的版本。
- 载荷注入:三个版本的node-ipc.cjs主文件中,合法的esbuild产物之后被追加了一段约80KB高度混淆的恶意代码。StepSecurity称三个版本携带”完全相同的凭证窃取载荷”。
- 静默运行:在非Windows环境下,恶意代码行为相对克制;但在Windows平台,会额外写入
/tmp/nt-<pid>/目录并部署持久化机制。
恶意载荷分析
恶意代码通过DNS TXT查询与C2服务器通信,核心行为包括:
| 窃取目标 | 内容说明 |
| — | — |
| 本地密钥 | SSH私钥、PGP密钥、GPG密钥 |
| 云凭证 | AWS、Azure、GCP密钥及配置 |
| 环境变量 | .env 文件、CI/CD Secrets |
| AI工具配置 | Claude API密钥、OpenAI Token等 |
| 开发工具 | Git凭据、npm/github token |
C2通信域名:bt.node.js(引导域sh.azurestaticprovider.net,解析至IP 37.16.75.69)。
数据外泄方式为DNS隧道(DNS Tunneling),每类凭证以TXT记录分批回传,绕过防火墙与日志监控的难度极高。
排查与缓解
| 措施 | 操作步骤 |
| — | — |
| 版本排查 | 全局检索package-lock.json或yarn.lock中是否存在[email protected]、9.2.3、12.0.1 |
| DNS日志检查 | 检索服务器DNS日志中是否有对bt.node.js的TXT查询记录 |
| 立即升级 | 升级至[email protected]、12.0.2或更高安全版本 |
| 凭据轮换 | 隔离并检查受影响构建环境,轮换所有已泄露凭证 |
影响范围评估:高置信度。node-ipc是广受欢迎的IPC通信库,多个知名开源项目依赖,全球范围内受波及系统数量预计以十万级计。
版权声明:本文由华盟网原创发布,保留所有权利。配图由华盟网授权使用。
👇 点击阅读原文,访问我的网站
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:黑白之道 Red Hunter Red Hunter《node-ipc再遭投毒:npm供应链攻击第二波》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论