攻击者劫持了 npm 维护者帐户，窃取了加密密钥

据 SlowMist 报道，5 月 14 日，三个被植入恶意代码的 node-ipc 版本上线 npm 注册表。 攻击者劫持了一个不常用的维护者账户，并推送了旨在窃取开发者dent、私钥、交换 API 密钥等所有信息的恶意代码，这些代码直接来自 .env 文件。

node-ipc 是一个流行的 Node.js 包，它允许不同的程序在同一台机器上相互通信，有时也可以通过网络进行通信。.

SlowMist 抓住了缺口

区块链安全公司 SlowMist 通过其 MistEye 威胁情报系统发现了此次安全漏洞。.

版本 9.1.6、9.2.3 和 12.0.1

MistEye 发现了三个恶意版本，其中包括：

• 版本 9.1.6。.
• 版本 9.2.3。.
• 版本 12.0.1。.

以上所有版本都携带了相同的混淆后的 80 KB 有效载荷。.

Node-ipc 负责 Node.js 中的进程间通信。它主要帮助 Node.js 程序之间互发消息。每周有超过 82.2 万用户下载它。.

Node-ipc 在加密领域被广泛使用。它被用于开发者构建 dApp 的系统matic（CI/CD）中，也被用于日常的开发者工具中。

每个受感染的版本都被植入了相同的隐藏恶意代码。一旦任何程序加载了 node-ipc，该代码就会matic运行。.

StepSecurity 的研究人员弄清了此次攻击是如何发生的。node-ipc 的原始开发者曾使用过一个与 atlantis-software[.]net 域名关联的电子邮件地址。然而，该域名已于 2025 年 1 月 10 日过期。.

2026年5月7日，攻击者通过Namecheap购买了同一个域名，从而控制了开发者的旧邮箱。之后，他们只需在npm上点击“忘记密码”，重置密码，就能轻松获得发布node-ipc新版本的全部权限。.

真正的开发者对这一切毫不知情。恶意版本在被移除前存活了大约两个小时。.

窃贼寻找90岁以上的dent类型

嵌入式有效载荷会搜寻超过 90 种类型的开发者和云dent。AWS 令牌、Google Cloud 和 Azure 密钥、SSH 密钥、Kubernetes 配置、GitHub CLI 令牌等等，都在搜寻之列。.

对于 加密货币开发者而言，这种恶意软件专门攻击 .env 文件。这些文件通常包含私钥、RPC 节点凭据dent交换 API 密钥。

为了偷偷窃取的数据，攻击者利用了DNS隧道技术。它将文件隐藏在看似正常的互联网查询请求中。大多数网络安全工具都无法检测到这种攻击。.

安全团队表示，任何在两小时窗口期内运行过 npm install 或自动更新过依赖项的项目都应该假定自身已受到攻击。

根据SlowMist的指导，立即采取以下措施：

• 检查 node-ipc 版本 9.1.6、9.2.3 或 12.0.1 的锁定文件。.
• 回滚到你确定安全的最后一个版本。.
• 更换所有可能泄露信息的dent。.

2026年，针对npm的供应链攻击已成为常态。加密货币项目受到的打击比大多数项目都大，因为被盗的登录信息可以迅速转化为被盗资金。.