文章总结： node-ipcnpm包遭恶意软件入侵，该模块被植入可窃取AI会话、云凭证、应用数据及浏览器cookie的代码，主要针对macOS系统并通过DNSTXT协议隐蔽传输数据至仿冒Azure的C2服务器。建议立即撤销密钥、启用双因素认证并降级受感染版本，同时将相关令牌和API密钥视为已泄露。 综合评分： 87 文章分类： 漏洞预警,恶意软件,供应链安全,网络安全,数据安全

node-ipc npm 包遭到入侵，传播信息窃取恶意软件

TtTeam

2026年5月20日 08:56 海南

在小说阅读器读本章

去阅读

node-ipc 是一个 Node.js 模块，用于本地和远程进程间通信，使不同的进程能够通过 Unix 套接字、Windows 命名管道和 TCP/UDP 网络进行通信。

该软件包已被信息窃取恶意软件感染，其中包含用于窃取 AI 会话（Claude Code、Kiro）、云凭证（AWS、GCP）、用户应用程序数据（Microsoft Teams、FileZilla）、浏览器 cookie（Firefox）以及 Docker、Terraform、Kubernetes 等配置数据的代码。

这并非 node-ipc 首次遭到攻击。它曾在 2022 年的“抗议软件”恶意软件活动中遭到攻击和篡改，用于传播恶意软件（CVE-2022-23812）。

影响

• 该恶意软件会从目标计算机窃取敏感信息。
• node-ipc 每周下载量为 796,965 次，每月下载量为 3,000,590 次。

建议措施

立即采取的行动：

• 撤销密钥；添加双因素身份验证并降级恶意 node-ipc 版本
• 将机器及其所有连接的令牌、环境变量和 API 密钥视为已泄露。

主文件“node-ipc.cjs”的底部包含恶意混淆代码。

对恶意软件进行反混淆后，我们发现它包含一个庞大的文件列表，可以从中窃取信息。该恶意软件似乎专门针对 macOS，因为它会从 ~/Library 目录（macOS 系统用于存放已安装应用程序的本地目录）中窃取文件。

更具体地说，它以 Firefox、Microsoft Teams 和 FileZilla 为目标，提取会话文件和 cookie，以及 Docker 配置、MySQL 历史记录和 npm 密钥，并将所有这些内容泄露到远程服务器。

该恶意软件还会窃取 SSH 密钥和 Terraform 凭据。

被盗数据包括 Azure、AWS、Claude Code 配置、FileZilla、GitHub 凭证、Helm、Ansible 等等。

数据正在发送到远程 C2 服务器 sh[.]azurestaticprovider[.]net – 这可能会让安全工程师和扫描器认为它与真正的 Azure URL 而不是恶意 URL 有关。

该恶意软件并非使用常规的 HTTP POST 请求发送信息，而是利用一种特殊功能，通过 DNS TXT 协议传输信息。这是一种高度隐蔽的技术，因为常规网络分析工具通常不会监控 DNS TXT 请求，而且每个发送的“数据包”都非常小，远程服务器需要特定的逻辑才能将攻击者服务器上接收到的信息进行组合和重建。

威胁行为者不断滥用已知模式和包含敏感信息的文件，攻击开发者和用户，并通过 npm 注册表传播。他们使用高度混淆的代码、仿冒 Microsoft Azure 的 URL 以及极具规避性的 DNS TXT 网络协议来窃取数据，这表明威胁行为者将继续努力绕过防御机制，并使其代码更具规避性和破坏性。

这个问题仅靠用户自身无法解决。即使每个人都遵循最佳实践，避免安装被入侵的版本，我们也无法大规模保证这一点。npm 和 PyPI 应该转向“保护优先”的方法——类似于 Android 和 iOS 应用在发布新版本到应用商店之前进行审核的做法——这样才能防止大规模恶意软件影响全球数百万用户。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：TtTeam 《node-ipc npm 包遭到入侵，传播信息窃取恶意软件》