npm核心维护者遭AI深度伪造攻击 axios等关键包短暂被植入恶意软件
2026年4月5日,开源软件生态遭遇重大供应链攻击事件。黑客利用AI深度伪造技术冒充企业高管,通过虚拟会议诱骗npm核心维护者安装远程访问木马,进而控制其账户并发布恶意版本的axios等高流量软件包。该恶意版本在发布约三小时后被移除,但已影响部分云环境。攻击者疑似朝鲜黑客组织UNC1069,采用高度协调的社交工程策略,目标涵盖多个关键开源项目维护者,包括Lodash、dotenv、Fastify等。谷歌安全团队警告此事件可能产生深远影响,Socket平台确认多名顶级维护者遭类似攻击。目前维护者已采取重置凭证、启用OIDC发布流程等防护措施。