npm生态现重大安全漏洞:恶意包窃取开发者核心凭证
根据慢雾安全团队披露,5月14日npm官方仓库中出现三个被植入恶意代码的node-ipc版本。攻击者利用长期休眠维护者账户的漏洞,通过重注册其关联邮箱,绕过身份验证并获得发布权限,推送了可窃取.ENV文件中关键凭据的恶意脚本。该行为直接威胁到开发者的系统安全与项目资产。
node-ipc组件风险解析
node-ipc是广泛应用于Node.js环境的进程间通信工具,支持本地及跨网络消息传递,每周下载量逾82万次,在加密项目中尤为常见。由于其底层集成特性,一旦被污染,将对依赖它的应用构成全局性威胁。
攻击溯源与技术特征
慢雾MistEye威胁情报系统识别出三个异常版本:9.1.6、9.2.3和12.0.1,均包含同一段经深度混淆处理的80KB恶意载荷。这些代码在程序运行时自动激活,具备极强隐蔽性,常规依赖扫描难以察觉。
恶意行为链路分析
攻击者首先通过域名过期后重新注册的方式接管目标开发者的电子邮件账户,随后使用npm的密码重置机制获取软件包发布权限。这一系列操作利用了平台在账户恢复流程中的安全盲点,暴露出开源生态中身份管理的薄弱环节。
数据窃取范围与外传机制
恶意模块可探测超过90种类型的敏感凭证,涵盖AWS、Google Cloud、Azure访问令牌,以及SSH密钥、Kubernetes配置、GitHub CLI令牌等。针对加密领域开发者,特别强化对.env文件的扫描,精准定位私钥、RPC节点连接信息与交易所API密钥。窃取数据通过DNS隧道技术外传,将机密信息嵌入正常域名查询请求中,有效规避防火墙与IDS检测。
应急响应与防护建议
安全团队强调,所有在漏洞窗口期内执行过npm install或自动更新的项目均应视为已受感染。建议立即核查项目锁定文件(如package-lock.json)是否包含受影响版本;回滚至安全版本;并强制更换所有可能泄露的凭证,包括云服务密钥、钱包私钥及第三方接口密钥。此类软件供应链攻击在npm生态中频繁发生,尤其在高价值的加密项目中,一旦失守即可能导致不可逆的资金损失。
此次事件凸显开源依赖链的安全脆弱性,提醒开发者必须建立严格的依赖审查与持续监控机制。