周下载超 69 万次：热门 npm 包 node-ipc 被投毒，可窃取密码等敏感信息

5 月 16 日消息，科技媒体 NeoWin 昨日（5 月 15 日）发布博文，报道称 npm 热门包 node-ipc 遭遇新的供应链攻击，多个新发布版本被植入信息窃取恶意代码。

注：node-ipc 是一个 Node.js 模块，支持 Unix、Windows、UDP、TLS 和 TCP 等多种套接字通信。

这个进程间通信包在 npm 上每周下载量仍超过 690000 次，有大量项目依赖该工具包，该媒体指出这次事件的影响不只局限于单个开发者，更可能沿依赖链向下游扩散。

目前已确认以下 3 个版本为恶意版本：

node-ipc@9.1.6

node-ipc@9.2.3

node-ipc@12.0.1

多家应用安全公司称，攻击者在新发布版本中植入了凭证窃取恶意代码。由于这段代码藏在 CommonJS 入口文件 node-ipc.cjs 中，应用一旦加载相关版本，恶意程序就会自动执行，风险直接落到开发机、CI 环境和服务器上。

研究人员溯源指出最新恶意版本的攻击路径，疑似来自外部攻击者入侵了一名不活跃维护者 atiertant 的账户。恶意代码经过深度混淆，会先识别受感染系统，再收集环境变量、本地敏感文件和多类访问凭证。

目标包括 AWS、Azure、GCP、OCI、DigitalOcean 等云凭证，也包括 SSH 密钥、Kubernetes、Docker、Helm、Terraform 凭证，以及 npm、GitHub、GitLab 和 Git CLI 等 Token。

恶意程序还会搜集 .env 文件、数据库凭证、Shell 历史记录、CI / CD 机密、macOS Keychain 文件、Linux keyring，以及 Firefox 配置数据、Microsoft Teams 本地存储和 IndexedDB 路径。

为了提高效率并减少主机上的异常痕迹，恶意程序会跳过大于 4 MiB 的文件，也不会扫描 .git 和 node_modules 目录。窃取到的数据会先压缩成 tar.gz 临时归档，传完后再删除。

这次攻击一个更隐蔽的点在于外传方式。攻击者没有使用常见的 HTTP 指挥控制流量，而是改用 DNS TXT 查询传数据，并借助伪装成 Azure 相关的域名启动解析流程。

Socket 估算，若外传一个 500 KB 的压缩包，大约会生成 29400 次 DNS TXT 请求，这类流量更容易混在正常 DNS 活动里，增加排查难度。

这个恶意程序目前没有建立持久化机制，也不会下载第二阶段载荷，目标看起来更偏向“快偷快走”。