# npm
2026年4月5日,开源软件生态遭遇重大供应链攻击事件。黑客利用AI深度伪造技术冒充企业高管,通过虚拟会议诱骗npm核心维护者安装远程访问木马,进而控制其账户并发布恶意版本的axios等高流量软件包。该恶意版本在发布约三小时后被移除,但已影响部分云环境。攻击者疑似朝鲜黑客组织UNC1069,采用高度协调的社交工程策略,目标涵盖多个关键开源项目维护者,包括Lodash、dotenv、Fastify等。谷歌安全团队警告此事件可能产生深远影响,Socket平台确认多名顶级维护者遭类似攻击。目前维护者已采取重置凭证、启用OIDC发布流程等防护措施。
一名安全研究人员通过Node Package Manager(npm)的源映射机制,泄露了Anthropic公司旗舰命令行工具Claude Code的完整源代码库。该源代码通过Cloudflare R2存储桶公开可访问,包含约40个插件式工具、46000行查询引擎代码、多代理编排系统、IDE桥接系统及持久化内存系统。技术架构显示其采用Bun作为JavaScript运行时,使用Ink(React终端库)构建CLI界面,并广泛使用Zod v4进行数据验证。此次泄露引发对代码安全性和隐私保护的担忧。
黑客通过窃取开源项目Axios主要开发者的账户权限,篡改其在npm平台上的代码库,向全球数千万开发者推送含有远程控制木马(RAT)的恶意版本。该事件于2026年3月31日被安全公司StepSecurity和Aikido发现并及时阻止,持续时间约三小时。恶意代码针对Windows、macOS和Linux系统,安装后可自动删除自身以规避检测。受影响用户被建议立即假设系统已被入侵并采取安全措施。此事件凸显供应链攻击威胁日益加剧,此前SolarWinds、Log4j等案例已警示类似风险。
著名JavaScript HTTP客户端库Axios的两个版本(axios@1.14.1和axios@0.30.4)遭遇供应链攻击,被植入恶意依赖包plain-crypto-js@4.2.1,攻击者可通过安装时自动执行的脚本远程控制受感染系统,窃取API密钥、登录凭证及加密钱包信息。安全公司Socket与OX Security均发布警告,建议受影响开发者立即轮换密钥、审计系统并回滚恶意版本。此次事件凸显开源组件安全风险,此前Trust Wallet也曾因npm包供应链漏洞导致超2500个钱包被盗,损失约700万美元。事件影响广泛,涉及全球开发社区及依赖Axios的各类平台与用户。
2026年3月19日,安全扫描工具Trivy遭遇供应链攻击,攻击者利用被盗凭证篡改75个trivy-action标签及7个setup-trivy标签,植入恶意依赖。随后,攻击者通过postinstall钩子部署Python后门,利用ICP canister获取C2服务器地址,并通过systemd用户服务实现持久化。攻击者还使用名为CanisterWorm的蠕虫工具,利用被盗npm令牌自动感染47个npm包,其中包括@EmilGroup和@opengov范围内的28个和16个包。部分版本(如@teale.io/eslint-config 1.8.11和1.8.12)具备自主传播能力,任何安...