早些时候，聊过 Python 领域那场惊心动魄的供应链攻击。当时我就感叹，虽然我们 JavaScript 开发者对这类套路烂熟于心，但亲眼目睹这种规模的“投毒”还是头一次。

早些时候，聊过 Python 领域那场惊心动魄的供应链攻击。当时我就感叹，虽然我们 JavaScript 开发者对这类套路烂熟于心，但亲眼目睹这种规模的“投毒”还是头一次。

然而，属于我们 JS 圈的至暗时刻，终究还是卷土重来了。

而且这一次，对手的手段远比之前更加隐蔽、更加狠辣。这绝不是什么无关痛痒的 Bug，而是一场蓄谋已久的“定点爆破”。最令人脊背发凉的是，这次沦陷的中心，竟然是那个几乎统治了所有前端请求的——Axios。

没错，就是那个你每天都在用的 Axios。

图片

如果你在过去几天里新建过项目，或者在生产环境中进行了部署，哪怕只是随手执行了一次简单的安装命令……

请你现在、立刻、马上，去检查你的版本号！

因为此时此刻，你的代码库可能已经变成了一个随时引爆的火药桶。要知道，Axios 每周的下载量高达惊人的 5 亿次。它无处不在，深入到了互联网的每一个角落。如果你恰好在那个危险的窗口期点击了安装，那么你引入的绝不仅仅是一个请求库。

你还亲手把一个潜伏的杀手——plain-crypto.js，请进了你的系统。

这就是大多数开发者最容易忽略的盲区：当我们安装一个包时，我们引入的其实是一整个深不可测的生态链。它依赖它，它又依赖另一个它……层层嵌套，环环相扣。而你的package-lock.json（或yarn.lock），正是管理这条生死线的唯一屏障。

这次的攻击者，精准地在这一环里埋下了毒饵。

请务必看清楚下面这两个“死亡版本”：

如果你的 Lock 文件里出现了这两个数字，请不要抱有任何侥幸心理。这根本不是简单的代码缺陷，这是一次彻头彻尾的RAT（远程访问木马）攻击。

这意味着，从安装完成的那一秒起，黑客就已经拿到了你系统的“万能钥匙”。他们可以像逛自家后花园一样：

而你，对此可能毫无察觉。

所以，我在这里恳请每一位开发者：

第一步，立刻重置你所有的密钥！

无论是 API Key、SSH Key，还是任何涉及权限的凭证，全部作废重来。

第二步，严密监控你的网络活动。

盯着那些奇怪的请求，看看它们到底想把你的数据运往何处。

这不是在危言耸听。在当下的开发环境里，很多人甚至都已经忘记了fetch怎么写，习惯性地直接调起 Axios。这种“集体无意识”的依赖，正是这场灾难最恐怖的地方。

如果你身边还有在做 JavaScript 开发的朋友，请务必把这条消息转发给他们。大声告诉他们：查一下 Axios 的版本！

如果是1.14.1或0.30.4，请立刻停下手头的工作，采取断然措施。哪怕是重装系统也在所不惜，因为你面对的，是最高级别的安全沦陷。

别等密钥被偷光了，才想起要补这个天大的窟窿。