朝鲜黑客劫持主流开源项目Axios事件或已筹备数周
2026年3月31日,全球广泛使用的开源项目Axios遭遇黑客劫持,攻击者疑似来自朝鲜,该攻击行动可能已筹备数周。此事件凸显开源项目维护者面临的严峻安全挑战,尤其是当政府支持的黑客组织针对关键代码库时,其影响可波及全球数百万设备。
Axios项目维护者Jason Saayman在事后复盘中披露,攻击者自事件发生前约两周即开始针对其展开定向攻击。黑客通过伪造公司身份、创建高度仿真的Slack工作空间,并利用虚假员工账号建立信任关系,最终诱骗Saayman参加网络会议,下载伪装成必要更新的恶意软件,从而获得其计算机的远程控制权。
该攻击手法与此前谷歌安全研究人员归因于朝鲜黑客的案例高度相似。在获取控制权后,黑客发布了两个恶意版本的Axios软件包。尽管这两个包在发布三小时后被迅速撤下,但在此期间可能已感染数千系统。任何安装恶意版本的设备,其私钥、凭证和密码等敏感信息均可能被窃取,进而引发连锁安全事件。
截至目前,Saayman未回应进一步采访请求。朝鲜黑客长期被视作全球最活跃的网络威胁之一,仅在2025年即窃取至少20亿美元加密货币。该政权因违反核武器禁令而遭受国际制裁,其经济活动受限,因此将网络攻击作为主要资金来源,尤其针对加密货币和关键基础设施。
朝鲜据信拥有数千名组织严密的黑客,多数在高压体制下被迫参与网络行动。他们常通过长期社会工程攻击,逐步建立信任关系,最终实现系统入侵,以窃取数据或勒索赎金。
编辑点评
此次朝鲜黑客劫持Axios事件,不仅是对开源生态系统的直接攻击,更是对全球数字基础设施安全的严峻警示。攻击者通过精心策划的社会工程学手段,绕过技术防御体系,凸显了人为因素在网络安全中的脆弱性。此类攻击的长期筹备特征,表明朝鲜网络部队具备高度专业化和持续性作战能力,其目标不仅是窃取加密货币,更可能寻求获取关键技术或工业控制系统的访问权限。从地缘政治角度看,该事件强化了国际社会对朝鲜网络战能力的认知,可能促使各国加强对开源项目维护者的安全支持,并推动更严格的网络空间国际规范制定。未来,此类攻击或将成为常态,尤其在技术开源化趋势加速背景下,全球需建立更有效的威胁情报共享与应急响应机制。