本质新闻

黑客通过窃取开源项目Axios主要开发者的账户权限，篡改其在npm平台上的代码库，向全球数千万开发者推送含有远程控制木马（RAT）的恶意版本。该事件于2026年3月31日被安全公司StepSecurity和Aikido发现并及时阻止，持续时间约三小时。恶意代码针对Windows、macOS和Linux系统，安装后可自动删除自身以规避检测。受影响用户被建议立即假设系统已被入侵并采取安全措施。此事件凸显供应链攻击威胁日益加剧，此前SolarWinds、Log4j等案例已警示类似风险。

著名JavaScript HTTP客户端库Axios的两个版本（axios@1.14.1和axios@0.30.4）遭遇供应链攻击，被植入恶意依赖包plain-crypto-js@4.2.1，攻击者可通过安装时自动执行的脚本远程控制受感染系统，窃取API密钥、登录凭证及加密钱包信息。安全公司Socket与OX Security均发布警告，建议受影响开发者立即轮换密钥、审计系统并回滚恶意版本。此次事件凸显开源组件安全风险，此前Trust Wallet也曾因npm包供应链漏洞导致超2500个钱包被盗，损失约700万美元。事件影响广泛，涉及全球开发社区及依赖Axios的各类平台与用户。