5 月 16 日消息,科技媒体 NeoWin 昨日(5 月 15 日)发布博文,报道称 npm 热门包 node-ipc 遭遇新的供应链攻击,多个新发布版本被植入信息窃取恶意代码。
IT之家注:node-ipc 是一个 Node.js 模块,支持 Unix、Windows、UDP、TLS 和 TCP 等多种套接字通信。
这个进程间通信包在 npm 上每周下载量仍超过 690000 次,有大量项目依赖该工具包,该媒体指出这次事件的影响不只局限于单个开发者,更可能沿依赖链向下游扩散。
目前已确认以下 3 个版本为恶意版本:
- node-ipc@9.1.6
- node-ipc@9.2.3
- node-ipc@12.0.1
多家应用安全公司称,攻击者在新发布版本中植入了凭证窃取恶意代码。由于这段代码藏在 CommonJS 入口文件 node-ipc.cjs 中,应用一旦加载相关版本,恶意程序就会自动执行,风险直接落到开发机、CI 环境和服务器上。
研究人员溯源指出最新恶意版本的攻击路径,疑似来自外部攻击者入侵了一名不活跃维护者 atiertant 的账户。恶意代码经过深度混淆,会先识别受感染系统,再收集环境变量、本地敏感文件和多类访问凭证。
node-ipc 攻击流程概览
目标包括 AWS、Azure、GCP、OCI、DigitalOcean 等云凭证,也包括 SSH 密钥、Kubernetes、Docker、Helm、Terraform 凭证,以及 npm、GitHub、GitLab 和 Git CLI 等 Token。
恶意程序还会搜集 .env 文件、数据库凭证、Shell 历史记录、CI / CD 机密、macOS Keychain 文件、Linux keyring,以及 Firefox 配置数据、Microsoft Teams 本地存储和 IndexedDB 路径。
为了提高效率并减少主机上的异常痕迹,恶意程序会跳过大于 4 MiB 的文件,也不会扫描 .git 和 node_modules 目录。窃取到的数据会先压缩成 tar.gz 临时归档,传完后再删除。
这次攻击一个更隐蔽的点在于外传方式。攻击者没有使用常见的 HTTP 指挥控制流量,而是改用 DNS TXT 查询传数据,并借助伪装成 Azure 相关的域名启动解析流程。
Socket 估算,若外传一个 500 KB 的压缩包,大约会生成 29400 次 DNS TXT 请求,这类流量更容易混在正常 DNS 活动里,增加排查难度。
这个恶意程序目前没有建立持久化机制,也不会下载第二阶段载荷,目标看起来更偏向“快偷快走”。
相关阅读:
- 《npm 生态遭大范围投毒:TanStack、Mistral AI、UiPath 等受波及,可窃取云密钥与 GitHub 令牌》
- 《主流 JavaScript 库 Axios 遭劫持,npm 被恶意注入远程控制木马》
- 《Bitwarden CLI npm 包遭供应链攻击:影响约 1.5 小时,可窃取开发者凭证》
- 《npm 史上最大规模垃圾包攻击之一:15 万恶意包被用于“挖矿”》