npm生态热门包node-ipc近日遭遇供应链攻击,三个版本(9.1.6、9.2.3、12.0.1)被植入凭证窃取恶意代码。该包周下载量超69万次,影响广泛。
恶意代码藏于CommonJS入口文件中,应用加载即执行。它会扫描并窃取AWS、Azure、GitHub、SSH、Kubernetes、.env等敏感凭证,并通过DNS TXT查询将数据隐蔽外传。
攻击源为被入侵的维护者账户atiertant。这已是node-ipc第二次重大安全事件(2022年曾因“反战”破坏文件)。
建议立即检查依赖,移除上述版本,升级至安全版本(如9.2.2或12.0.0),并轮换所有可能泄露的密钥和令牌。
本站为个人博客,博客所发布的一切修改补丁、注册机和注册信息及软件的文章仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络,版权争议与本站无关,您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。访问和下载本站内容,说明您已同意上述条款。本站为非盈利性站点,VIP功能仅仅作为用户喜欢本站捐赠打赏功能,本站不贩卖软件,所有内容不作为商业行为。
