Node.js生态系统面临新威胁

近日,慢雾安全团队首席信息安全官通过社交媒体平台发布紧急安全通告,指出广泛应用于Node.js项目的node-ipc库再度成为攻击目标。这是该库继2022年安全事件后,又一次严重的供应链攻击事件。

攻击细节与影响范围

此次攻击中,攻击者向npm官方仓库推送了三个标记为恶意的版本:9.1.6、9.2.3和12.1.0。这些版本被植入了功能完全相同的恶意代码模块,其核心目的在于隐秘地窃取开发环境中的各类敏感凭证,包括但不限于API密钥、访问令牌以及系统配置文件。

根据公开的下载统计数据,node-ipc作为底层依赖被大量项目使用,其每周的全球下载量稳定在一千万次以上。这意味着,任何直接或间接引用了受污染版本的项目,都可能面临核心数据外泄的严重风险。攻击的波及面可能呈指数级扩散。

给开发者的紧急行动建议

面对此类针对开源供应链的攻击,迅速响应是关键。我们建议所有开发者和管理员立即采取以下措施:

  • 检查依赖树:运行 npm list node-ipcyarn why node-ipc 命令,确认项目中是否引入了该依赖。
  • 验证版本:如果使用了node-ipc,请严格检查其版本号。务必确保当前使用的版本不是上述三个恶意版本(9.1.6, 9.2.3, 12.1.0)。
  • 立即升级:将node-ipc依赖升级到官方发布的最新安全版本。同时,建议运行全面的安全扫描,检查是否有凭证已异常泄露。
  • 加强监控:考虑使用能够监控依赖项变更和安全漏洞的自动化工具,以便在未来类似事件发生时能第一时间获得警报。

开源软件供应链的安全已成为全球性的挑战。此次事件再次警示我们,维护依赖库的安全性需要开发者社区、安全团队和包管理平台的持续协同努力。