精选理由
node-ipc 是大量 Node.js 项目的依赖,这次投毒直接威胁开发机、CI 环境和服务器,使用 npm 的团队务必立即排查并升级。
npm 热门包 node-ipc 遭遇供应链攻击,多个新版本被植入信息窃取恶意代码。该包每周下载量超 69 万次,影响广泛。恶意代码藏在 CommonJS 入口文件中,可自动执行,窃取云凭证、SSH 密钥、Token 等敏感信息。攻击者利用 DNS TXT 查询外传数据,增加排查难度。建议开发者立即检查并避免使用恶意版本。
AI 翻译 · 中文
npm 热门包 node-ipc 遭遇供应链攻击,多个新版本被植入信息窃取恶意代码。该包每周下载量超 69 万次,影响广泛。恶意代码藏在 CommonJS 入口文件中,可自动执行,窃取云凭证、SSH 密钥、Token 等敏感信息。攻击者利用 DNS TXT 查询外传数据,增加排查难度。建议开发者立即检查并避免使用恶意版本。
IT之家 5 月 16 日消息,科技媒体 NeoWin 昨日(5 月 15 日)发布博文, 报道称 npm 热门包 node-ipc 遭遇新的供应链攻击,多个新发布版本被植入信息窃取恶意代码。 IT之家注:node-ipc 是一个 Node.js 模块,支持 Unix、Windows、UDP、TLS 和 TCP 等多种套接字通信。 这个进程间通信包在 npm 上每周下载量仍超过 690000 次,有大量项目依赖该工具包,该媒体指出这次事…