Ai总结： npm官方仓库曝出多版本恶意node-ipc包，攻击者通过劫持休眠账户植入80KB混淆载荷，窃取开发者密钥与云凭证。该攻击利用域名重注册漏洞，数据通过DNS隧道隐蔽外传，影响广泛。

npm生态现大规模恶意包渗透，开发者凭据面临严重威胁

根据慢雾最新披露，5月14日npm官方仓库中出现三个被篡改的node-ipc版本，均携带可执行的恶意脚本。攻击者通过控制一个长期未活跃的维护者账户，成功推送包含窃密逻辑的代码，直接针对开发环境中的敏感信息进行提取。

主流进程通信工具遭恶意注入

node-ipc作为Node.js生态中广泛使用的本地与跨网络进程间通信组件，每周下载量突破82.2万次，尤其在加密项目中应用频繁。其核心功能是实现程序间的高效消息传递，但此次被恶意利用，成为攻击链路的关键入口。

攻击行为被威胁情报系统捕获

区块链安全机构慢雾借助其MistEye威胁感知平台，识别出编号为9.1.6、9.2.3及12.0.1的三个异常版本。这些版本均嵌入同一段经过深度混淆的80KB恶意载荷，具备高度隐蔽性，能绕过常规依赖扫描机制。

攻击路径依赖邮箱劫持与权限重置

研究人员还原发现，攻击者利用原维护者注册的域名到期后重新注册的时机，获取了对应邮箱控制权，进而触发npm的密码重置流程，非法取得软件包发布权限。这一漏洞暴露了开源项目在身份管理上的薄弱环节。

窃取范围覆盖多类敏感配置信息

植入的恶意代码可主动扫描超过90种类型的敏感凭证，涵盖AWS、Google Cloud、Azure等公有云访问令牌，以及SSH密钥、Kubernetes配置文件和GitHub CLI授权凭证。对于加密领域开发者，系统会重点搜索.env文件，提取私钥、RPC连接参数及交易所API密钥。所有窃取数据通过DNS隧道方式外泄，将机密信息编码于正常的域名查询请求中，有效规避多数防火墙与EDR系统的检测。

紧急应对措施已发布

慢雾团队提醒，自漏洞曝光至修复期间存在约两小时的高危窗口期。凡在此时段内执行过npm install或自动更新依赖的项目，应默认已被入侵。建议立即核查项目锁定文件中是否包含上述三版本；若存在，需回滚至可信历史版本；同时全面更换所有可能泄露的登录凭据，防止进一步资金损失。

此类软件供应链攻击在npm生态系统中屡见不鲜，而加密相关项目因涉及高价值资产，成为重点目标。一旦凭据被盗，极有可能迅速转化为实际经济损失。