• 漏洞编号：暂无
• 漏洞等级：严重
• 漏洞标签：POC已公开
• 发布时间：2026-05-15

漏洞描述

2026 年 5 月 14 日，npm 包 node\-ipc 出现供应链投毒事件。攻击者向 npm 发布了恶意版本 node\-ipc@9.1.6、node\-ipc@9.2.3、node\-ipc@12.0.1，并在 CommonJS 入口文件 node\-ipc.cjs 中植入混淆后的凭据窃取载荷。当应用通过 require\("node\-ipc"\) 加载该包时，恶意代码会在后台执行，收集受影响环境中的敏感信息，包括环境变量、SSH 私钥、npm/GitHub Token、云厂商凭据、Kubernetes 配置、数据库凭据、CI/CD Secrets 以及部分 AI 工具配置等。收集到的数据会被压缩打包，并通过 DNS TXT 查询或 HTTPS 请求外传至攻击者控制的基础设施。

修复建议

1. 排查项目依赖中是否存在受影响版本，若存在受影响版本，应立即升级或回退至已知安全版本。 2. 云安全中心镜像应用漏洞均已支持检测

参考链接

https://www.landh.tech/blog/20260514-node-ipc-compromised/

https://www.stepsecurity.io/blog/node-ipc-npm-supply-chain-attack

https://avd.aliyun.com/detail?id=AVD-2026-1876011