Axios 被投毒,速查!
Axios 被投毒了
今天npm生态发生了一起相当严重的安全事件,波及范围之广,足以让每一个开发者心头一紧。
免费影视、动漫、音乐、游戏、小说资源长期稳定更新! 👉 点此立即查看 👈
没错,备受信赖的HTTP客户端库Axios,遭到了供应链投毒攻击。中招的是1.14.1和0.30.4这两个版本。要知道,Axios的周下载量超过1亿次,这个量级的包出事,影响几乎是全网覆盖的。
更令人咋舌的是攻击速度:从下手到完成污染,攻击者针对1.x和0.x两条主线,总共用了不到两个小时。
事件经过
这次攻击的手法并非直接硬闯,而是采用了“毒源感染”的策略,显得颇为狡猾。
时间线拉回到3月30日下午。攻击者首先发布了一个看似正常的包:plain-crypto-js@4.2.0。这像是一次常规的投石问路。
真正的转折发生在几小时后。3月31日00:00左右,恶意版本plain-crypto-js@4.2.1被发布出来,这才是那个真正的“毒包”。
接下来,攻击进入了关键阶段:
攻击者已经成功控制了Axios主要维护者jasonsaayman的npm账号。他们不仅修改了账户邮箱为ifstap@proton.me,还将原维护者彻底锁在账号之外。
掌握了发布权限后,攻击者直接使用npm CLI手动发包,绕过了常规的GitHub Actions自动化流程:
- 00:21,发布
axios@1.14.1 - 01:00,发布
axios@0.30.4
这两个被污染的版本中,都被悄无声息地添加了一行依赖声明:plain-crypto-js@4.2.1。
所以,整个攻击链条其实非常清晰:plain-crypto-js作为“毒源”负责提供恶意负载,而被投毒的axios则凭借其巨大的用户基数,成为绝佳的“扩散放大器”。
恶意代码在干嘛
所有核心恶意逻辑都藏在plain-crypto-js@4.2.1这个包里。
当这个包被安装时,会触发postinstall脚本。该脚本会执行一段经过混淆的代码,其首要任务是连接到一个名为C2(命令与控制)的服务器——地址是sfrclak.com:8000,并从中下载第二阶段的攻击载荷。
接着,恶意代码会根据操作系统类型,投递不同的远程访问工具(RAT):
- macOS:接收一个伪装的二进制文件。
- Windows:执行一段隐藏的PowerShell脚本。
- Linux:在
/tmp目录下释放一个Python脚本。
执行完毕后,攻击载荷还会进行“自毁”,清除运行痕迹。这意味着,如果你事后去检查node_modules目录,很可能看不出任何异常。识别此类攻击最可靠的依据,往往是锁定文件(lockfile)。
影响范围
只要你在3月31日这个特定的时间窗口内,执行过npm install安装或更新依赖,你的系统就存在中招的风险。
这种风险不仅限于开发者的本地机器,同样波及持续集成(CI)环境和生产服务器。供应链攻击的可怕之处正在于此——它沿着依赖链条无差别蔓延。
还需要注意的是,即使npm官方事后删除了这些恶意包,如果你的项目锁文件(如package-lock.json或yarn.lock)已经锁定了这两个受污染的版本,威胁依然存在。
怎么处理
首先,立刻检查你的项目是否正在使用Axios的1.14.1或0.30.4版本。
如果不幸命中,建议的处理方式不是简单升级,而是彻底清理:删除整个node_modules目录和锁文件(lockfile),然后重新安装依赖。同时,务必在package.json中将Axios显式固定到一个已知的安全版本。
如果怀疑机器可能已经执行了恶意代码,那么这就需要按照正式的安全事件来响应了:立即隔离受影响系统、更换所有相关的访问凭证(如API密钥、密码),并进行全面的磁盘扫描与安全检查。
相关攻略
Axios 被投毒了 今天npm生态发生了一起相当严重的安全事件,波及范围之广,足以让每一个开发者心头一紧。 没错,备受信赖的HTTP客户端库Axios,遭到了供应链投毒攻击。中招的是1 14 1和0 30 4这两个版本。要知道,Axios的周下载量超过1亿次,这个量级的包出事,影响几乎是全网覆盖的
Axios 惊现恶意版本:一场针对前端生态的精准供应链攻击 2026年3月30日,一场针对前端生态的“地震”发生了。作为每周下载量超亿次、最为主流的HTTP客户端库,Axios被曝出在npm官方仓库中植入了两个恶意版本:axios@1 14 1 和 axios@0 30 4。这可不是普通的安全漏洞,
早些时候,聊过 Python 领域那场惊心动魄的供应链攻击。当时我就感叹,虽然我们 JavaScript 开发者对这类套路烂熟于心,但亲眼目睹这种规模的“投毒”还是头一次。 早些时候,聊过 Pyth
轻量级 HTTP 请求库,支持声明式处理复杂请求,兼容 axios fetch XHR 适配器,可无缝集成各类前端项目。 前端 HTTP 请求库新选择,轻量化+高性能,对标 Axios 核心竞争力。
本站(120btc com):去中心化预测市场平台polymarket显示,拜登(joe biden)退选的机率已上升至80%,相比几天前的数据几乎已翻倍。Polymarket一面
热门专题
热门推荐
Lemonaid是什么 如果你正为音乐创作寻找得力助手,那么Lemonaid很可能就是答案。它是一款专门面向专业音乐人打造的AI音乐生成工具,核心能力在于自主生成包含完整旋律、和声与节奏的乐曲。无论是想要一段氛围感十足的背景音乐,还是为具体场景定制配乐,它都能提供高度逼真且质量上乘的作品。工具提供了
苹果也要出折叠屏,传闻已经有几年了,从目前供应链、分析师与知名爆料者释放的信息来看,这款与市面大折都不一样的阔折叠似乎已经蓄势待发,大概率今年下半年就要正式面市。今天我们就来为大家汇总一波,没准儿就有你想知道的消息。 关于苹果折叠屏手机的传闻,已经流传了好几年。如今,综合供应链、分析师以及各路知名爆
《刺客信条:黑旗重制版》官宣之际,这款新海盗游戏为何能抢先赢得玩家口碑? 当游戏界的焦点都集中在《刺客信条:黑旗重制版》的正式公布时,一款名为《风启之旅》(Windrose)的开放世界海盗生存建造游戏,却凭借其过硬的品质与独特的玩法融合,悄然在玩家社区中掀起热议。这款由乌兹别克斯坦团队Kraken
产品介绍 提到云端智能视频创作,腾讯智影是一个绕不开的名字。这款由腾讯推出的平台,本质上是一个一站式的在线视频工厂,集成了从素材挖掘、剪辑、渲染到最终发布的全链路功能,旨在为用户提供全方位的视频创作解决方案。更吸引人的是,它不仅免费开放,还深度整合了多项前沿AI技术,目标很明确:让视频化表达这件事,
《王者荣耀世界》线下活动风波:合影互动引争议,职业素养与网络舆论深度探讨 近日,《王者荣耀世界》的一场线下玩家见面会,因台上一次短暂的合影互动,意外成为全网热议的焦点。活动中,一位男粉丝上台与角色扮演者(Coser)合影时,主动做出比心手势以示友好,却未得到身旁Coser的任何回应。男生举着手势在原