Axios npm包遭供应链攻击 恶意版本致系统被控
两个恶意版本的Axios npm包(axios@1.14.1和axios@0.30.4)已被证实遭供应链攻击,导致全球开发者系统面临安全威胁。安全公司Socket发现,这两个版本被篡改,植入了名为plain-crypto-js@4.2.1的恶意依赖包,该包在安装时通过post-install脚本自动执行,允许攻击者远程控制受感染设备,窃取敏感信息,包括API密钥、会话令牌及加密钱包数据。
OX Security警告称,受影响开发者应立即视系统为完全被攻陷,执行密钥轮换、系统审计和版本回滚。Socket建议开发者检查项目依赖文件,移除或回退受影响版本,并警惕可能的长期后门风险。
此次事件凸显开源生态中供应链安全的脆弱性。此前2026年1月,ZachXBT报告称数百个以太坊虚拟机兼容网络钱包遭清空,与Trust Wallet在12月遭遇的npm供应链漏洞有关,该事件导致超2500个钱包被盗,损失约700万美元。Trust WalletCEO承认,漏洞可能源自开发工作流中使用的npm包被恶意篡改。
安全专家强调,此类攻击可横向蔓延至大量应用程序,影响范围远超开发社区,波及终端用户、金融平台及企业系统。全球开发社区正面临开源软件信任危机,需加强依赖包审查机制与安全监控。
编辑点评
此次Axios npm包供应链攻击事件是开源生态安全的又一次重大警钟。攻击者通过篡改广泛使用的开源库,利用自动安装脚本实现远程代码执行,攻击范围覆盖全球开发社区,且潜在影响可延伸至金融、支付、区块链等关键领域。这种攻击模式成本低、隐蔽性强,但破坏力巨大,凸显了当前软件供应链管理的系统性短板。
从背景看,类似事件并非首次。Trust Wallet在2025年底的700万美元损失事件已暴露开发链路漏洞,而Axios作为全球使用最广泛的HTTP客户端之一,其被攻陷意味着数以万计的Web应用可能已暴露在风险之下。这不仅威胁开发者,更直接影响终端用户数据与资产安全。
未来,此类攻击可能成为常态,推动全球技术社区加强开源审计、引入代码签名与依赖扫描机制。各国监管机构也可能介入,强制要求关键基础设施软件供应链透明化。企业需重新评估其安全策略,从“事后响应”转向“事前防御”,例如采用可信源验证、自动安全检测工具及零信任架构,以应对日益复杂的供应链威胁。