這是一起典型的供應鏈攻擊,針對的是 Node.js 生態系中廣泛使用的 node-ipc 套件。對於剛入行的工程師來說,最重要的一點是:即便你沒有直接安裝某個惡意套件,只要你的專案依賴的第三方套件被污染,你的開發環境就可能在不知不覺中被入侵。
這次事件中,node-ipc 的三個特定版本(9.1.6、9.2.3 以及 12.0.1)被發現包含惡意後門。攻擊者採取了非常隱蔽的手段,將惡意程式碼偽裝成正常功能,目的就是為了竊取開發者電腦中的敏感資訊。
隱蔽的執行機制
通常許多 npm 惡意套件會利用生命週期鉤子(Lifecycle Hooks),例如在安裝時自動執行的 preinstall 或 postinstall 腳本來觸發攻擊。但這次的攻擊者更聰明,他們將惡意程式碼以 IIFE(立即執行函數表達式)的形式直接附加在 node-ipc.cjs 檔案的末端。
這意味著,只要你的程式碼中執行了 require('node-ipc'),後門就會在運行時立即啟動,完全不需要經過安裝腳本,這讓許多傳統的安全性掃描工具難以察覺。
精準打擊與環境指紋識別
最令人不安的是 12.0.1 版本的行為。該版本在執行竊取動作前,會先對系統路徑進行 SHA-256 哈希計算,並將結果與程式碼中內嵌的特定數值比對。如果比對不成功,惡意程式碼就不會執行。
這種技術稱為環境指紋識別(Fingerprinting)。這顯示攻擊者並非在進行大規模的隨機攻擊,而是有明確的目標。他們預先計算好了目標開發者或特定專案的環境特徵,只有在目標環境中,後門才會真正啟動。相比之下,9.x 版本則較為激進,只要載入就會執行。
全面性的機密竊取
一旦後門被觸發,它會掃描並收集開發者環境中幾乎所有有價值的金鑰,涵蓋類別多達 90 種,包括: 雲端平台金鑰:AWS、Google Cloud、Azure 的憑證。 開發工具配置:GitHub CLI 設定、Kubernetes Token、Terraform 狀態檔。 系統權限:SSH 金鑰、資料庫密碼、Shell 歷史紀錄。 AI 工具設定:Claude AI 與 Kiro IDE 的設定檔。
這些資料會被壓縮成 GZIP 格式,並透過加密封裝傳送到攻擊者的 C2 伺服器(指令與控制伺服器)。
繞過偵測的傳輸手段
為了避免被公司的網路監控或 DNS 日誌發現,攻擊者設計了兩套傳輸路徑。第一路是正常的 HTTPS POST 請求。第二路則更為刁鑽:它會直接覆蓋系統的 DNS 解析器,改用 Google Public DNS (8.8.8.8) 或 Cloudflare (1.1.1.1) 來獲取 C2 伺服器的 IP,隨後將竊取的資料切片,偽裝成 DNS TXT 紀錄直接傳送給 C2 伺服器。
這種直接對 C2 進行 DNS 查詢的作法,使得企業內部的 DNS 監控日誌完全看不到任何異常流量,極大地增加了偵測難度。
實務上的應對與反思
如果你或你的團隊使用了 node-ipc,請立即採取以下行動: 檢查版本:確認是否使用了 9.1.6、9.2.3 或 12.0.1 版本。若有,請立即移除並降級至已知安全的版本(如 9.2.1 或 12.0.0)。 假設已洩漏:一旦發現安裝了受污染版本,必須假設所有儲存在該機器上的金鑰(AWS Key, SSH Key, GitHub Token 等)都已外流,立即進行輪換(Rotate)更換。 稽核權限:檢查雲端平台的 IAM 日誌,確認是否有異常的 API 調用或未經授權的操作。
這次事件再次提醒我們,開源生態系的信任鏈是非常脆弱的。即使是一個維護多年的知名套件,也可能因為維護者帳號被盜或被惡意第三方接管而變成木馬。在實務開發中,建議使用 lock 檔固定版本,並定期使用安全性掃描工具監控依賴項的漏洞。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。