本质新闻

著名JavaScript HTTP客户端库Axios的两个版本（axios@1.14.1和axios@0.30.4）遭遇供应链攻击，被植入恶意依赖包plain-crypto-js@4.2.1，攻击者可通过安装时自动执行的脚本远程控制受感染系统，窃取API密钥、登录凭证及加密钱包信息。安全公司Socket与OX Security均发布警告，建议受影响开发者立即轮换密钥、审计系统并回滚恶意版本。此次事件凸显开源组件安全风险，此前Trust Wallet也曾因npm包供应链漏洞导致超2500个钱包被盗，损失约700万美元。事件影响广泛，涉及全球开发社区及依赖Axios的各类平台与用户。