Node-IPC 2026.5.14 供应链投毒事件
摘要
2026 年 5 月 14 日,npm 包 node-ipc 出现供应链投毒事件。攻击者向 npm 发布了恶意版本 [email protected]、[email protected]、[email protected],并在 CommonJS 入口文件 node-ipc.cjs 中植入混淆后的凭据窃取载荷。当应用通过 require("node-ipc") 加载该包时,恶意代码会在后台执行,收集受影响环境中的敏感信息,包括环境变量、SSH 私钥、npm/GitHub Token、云厂商凭据、Kubernetes 配置、数据库凭据、CI/CD Secrets 以及部分 AI 工具配置等。收集到的数据会被压缩打包,并通过 DNS TXT 查询或 HTTPS 请求外传至攻击者控制的基础设施。 受影响版本 node-ipc 9.1.6 node-ipc 9.2.3 node-ipc 12.0.1 安全版本 node-ipc 9.2.1 node-ipc 12.0.0
正文
2026 年 5 月 14 日,npm 包 node-ipc 出现供应链投毒事件。攻击者向 npm 发布了恶意版本 [email protected]、[email protected]、[email protected],并在 CommonJS 入口文件 node-ipc.cjs 中植入混淆后的凭据窃取载荷。当应用通过 require("node-ipc") 加载该包时,恶意代码会在后台执行,收集受影响环境中的敏感信息,包括环境变量、SSH 私钥、npm/GitHub Token、云厂商凭据、Kubernetes 配置、数据库凭据、CI/CD Secrets 以及部分 AI 工具配置等。收集到的数据会被压缩打包,并通过 DNS TXT 查询或 HTTPS 请求外传至攻击者控制的基础设施。 受影响版本 node-ipc 9.1.6 node-ipc 9.2.3 node-ipc 12.0.1 安全版本 node-ipc 9.2.1 node-ipc 12.0.0 CVE编号: N/A 利用情况: POC 已公开 补丁情况: 官方补丁 阿里云评分: 9.5 ** 威胁评估 ** 攻击路径: 远程 攻击复杂度: 容易 权限要求: 无需权限 影响范围: 全局影响 EXP成熟度: POC 已公开 补丁情况: 官方补丁 数据保密性: 数据泄露 数据完整性: 传输被破坏 服务器危害: 服务器失陷 全网数量: N/A ** 解决建议 ** 1、排查项目依赖中是否存在受影响版本,若存在受影响版本,应立即升级或回退至已知安全版本。2、云安全中心镜像应用漏洞均已支持检测 ** 参考链接 ** - https://www.landh.tech/blog/20260514-node-ipc-compromised/ - https://www.stepsecurity.io/blog/node-ipc-npm-supply-chain-attack
标签
- cve:n/a
- exploit:poc_已公开
扩展字段
{
"aliyun_score": 9.5,
"avd_id": "AVD-2026-1876011",
"cvss_details": {
"EXP成熟度": "POC 已公开",
"全网数量": "N/A",
"影响范围": "全局影响",
"攻击复杂度": "容易",
"攻击路径": "远程",
"数据保密性": "数据泄露",
"数据完整性": "传输被破坏",
"服务器危害": "服务器失陷",
"权限要求": "无需权限",
"补丁情况": "官方补丁"
},
"severity_text": "严重"
}