微新创想:2026年5月15日,npm热门Node.js通信库node-ipc遭供应链攻击,9.1.6、9.2.3和12.0.1三个新发布版本被植入深度混淆的恶意代码
该恶意代码隐藏在node-ipc.cjs入口文件中,一旦加载即会执行,窃取云平台(如AWS、Azure、GCP等)、CI/CD、SSH、Kubernetes及GitHub等系统的凭证信息
攻击行为疑似源于维护者账户被入侵,目前尚未发现持久化或二次载荷的迹象,但攻击手段已经对多个关键系统造成威胁
此次事件影响范围广泛,node-ipc库的周下载量超过69万次,意味着大量项目可能受到影响,存在潜在的安全风险
由于恶意代码经过深度混淆,检测和清除难度较大,用户需及时检查依赖项并采取安全措施以防止数据泄露
建议开发者关注npm官方公告,及时更新相关依赖库,确保项目安全,同时加强账户安全防护,避免类似事件再次发生