黑客劫持开源项目Axios推送恶意软件 亿万开发者面临风险
黑客于2026年3月31日劫持了广泛使用的JavaScript库Axios,并在npm软件仓库中推送恶意版本,威胁全球数千万开发者。Axios每周被下载数千万次,是连接互联网的关键工具。
据安全公司StepSecurity分析,此次攻击持续约三小时,于周一至周二凌晨被发现并中止。黑客通过窃取项目主要开发者的账户权限,替换其邮箱地址,从而掌控更新权限,推送包含远程访问木马(RAT)的伪装更新。
该恶意软件可为攻击者提供对受害计算机的完全远程控制,并设计为安装后自动删除,以逃避反病毒软件和调查。Aikido公司警告,任何下载该版本代码的用户应立即假设系统已被入侵。
此类攻击被称为“供应链攻击”,黑客通过篡改开发者依赖的开源组件,间接攻击大量终端用户。此前SolarWinds、Log4j、3CX和Kaseya等事件均属此类,凸显开源生态安全风险日益严峻。
目前尚无确切数据说明恶意版本被下载次数,但其影响范围可能极为广泛,涉及全球多个操作系统平台(Windows、macOS、Linux)。
编辑点评
此次Axios开源项目被劫持事件,再次凸显全球软件供应链安全的脆弱性。作为开发者生态中的基础组件,Axios被广泛用于各类Web应用,其被篡改意味着潜在攻击面覆盖数千万终端系统。攻击者利用开发者账户权限漏洞,通过替换邮箱地址实现持久控制,反映出开源项目权限管理与身份验证机制存在系统性短板。
从国际安全格局看,此类攻击不仅威胁企业IT系统,也可能波及政府基础设施、金融和关键服务,构成网络安全领域的重大挑战。近年来SolarWinds、Log4j等事件已证明,开源软件已成为高级持续性威胁(APT)和国家行为体的重要攻击路径。未来,全球技术社区需加强开源项目治理,推动安全审计、代码签名和多因素认证常态化。
此外,此次事件提醒各国监管机构应将供应链安全纳入数字治理框架。中国等大国在推动“数字中国”和“新基建”进程中,更需建立自主可控的软件生态,减少对海外开源组件的过度依赖。长期而言,国际社会应建立跨国开源安全协作机制,共享威胁情报,共同应对这一新兴威胁。