axios 遭复杂供应链攻击
2026 年 3 月 31 日,安全机构 StepSecurity 发现,广泛使用的 JavaScript HTTP 客户端库 axios 在 npm 上被发布了两个恶意版本 (1.14.1 和 0.30.4),均通过被盗的首席维护者凭据发布,绕过了项目正常的 CI/CD 流程。
攻击者将维护者账号邮箱篡改为一个 ProtonMail 匿名地址,并利用该账号的长期有效 npm 访问令牌通过命令行手动发布。在此之前,攻击者已从另一个一次性账号预先发布了恶意依赖 plain-crypto-js@4.2.1,两个账号均使用 ProtonMail 注册,呈现一致的操作特征。
恶意版本相比安全版本,唯一的变化是在依赖列表中新增了 plain-crypto-js@4.2.1。当开发者执行 npm install 时,npm 会自动解析并安装该依赖,随即触发其 postinstall 脚本启动木马投放程序。
恶意软件采用了多种高级规避技术:运行时解混淆以隐藏真实意图,动态加载 fs、os、execSync 等敏感模块以绕过静态扫描,可直接在宿主系统上执行解码后的 shell 命令,并将载荷文件部署至系统临时目录和 Windows ProgramData 目录等敏感位置,执行完毕后自动删除或重命名自身文件以对抗取证分析。
axios 每周下载量达数千万次 (Socket 统计约 8300 万次),是 JavaScript 生态中使用最广泛的 HTTP 客户端之一,此次事件的潜在波及面极大。
开发者应立即排查项目依赖,可通过以下命令检查是否受到影响:
若确认安装了受影响版本,应视系统为已被入侵,将 axios 固定至安全版本 (1.14.0 或 0.30.3),轮换受影响机器上的所有密钥、API 密钥和凭据,并检查网络日志中是否存在指向已知 C2 域名或 IP 地址的出站连接。
(综合媒体报道)
2026 年 3 月 31 日,安全机构 StepSecurity 发现,广泛使用的 JavaScript HTTP 客户端库 axios 在 npm 上被发布了两个恶意版本 (1.14.1 和 0.30.4),均通过被盗的首席维护者凭据发布,绕过了项目正常的 CI/CD 流程。
攻击者将维护者账号邮箱篡改为一个 ProtonMail 匿名地址,并利用该账号的长期有效 npm 访问令牌通过命令行手动发布。在此之前,攻击者已从另一个一次性账号预先发布了恶意依赖 plain-crypto-js@4.2.1,两个账号均使用 ProtonMail 注册,呈现一致的操作特征。
恶意版本相比安全版本,唯一的变化是在依赖列表中新增了 plain-crypto-js@4.2.1。当开发者执行 npm install 时,npm 会自动解析并安装该依赖,随即触发其 postinstall 脚本启动木马投放程序。
恶意软件采用了多种高级规避技术:运行时解混淆以隐藏真实意图,动态加载 fs、os、execSync 等敏感模块以绕过静态扫描,可直接在宿主系统上执行解码后的 shell 命令,并将载荷文件部署至系统临时目录和 Windows ProgramData 目录等敏感位置,执行完毕后自动删除或重命名自身文件以对抗取证分析。
axios 每周下载量达数千万次 (Socket 统计约 8300 万次),是 JavaScript 生态中使用最广泛的 HTTP 客户端之一,此次事件的潜在波及面极大。
开发者应立即排查项目依赖,可通过以下命令检查是否受到影响:
npm ls axios plain-crypto-js
若确认安装了受影响版本,应视系统为已被入侵,将 axios 固定至安全版本 (1.14.0 或 0.30.3),轮换受影响机器上的所有密钥、API 密钥和凭据,并检查网络日志中是否存在指向已知 C2 域名或 IP 地址的出站连接。
(综合媒体报道)
