摘要:npm生态中顶级依赖包axios被曝遭遇实时供应链攻击,新版本引入未知恶意依赖,威胁全球数百万开发者。安全机构建议立即冻结版本更新并审查依赖锁文件。
axios遭恶意供应链入侵,全球开发者面临潜在风险
安全研究机构Socket Security联合创始人Feross Aboukhadijeh披露,npm生态系统中使用最广泛的JavaScript库axios正遭受持续的供应链攻击。作为现代Web3与前端开发的核心组件,npm平台汇聚了超过200万个开源代码包,其稳定性直接关系到全球应用的安全底座。
新版axios植入隐蔽恶意依赖,攻击已进入执行阶段
最新发布的[email protected]版本意外引入了一个此前不存在的依赖项[email protected],这一异常行为表明攻击者已实现对构建流程的渗透。该事件属于典型的供应链投毒案例,且当前攻击处于活跃运行状态。由于axios每周下载量突破1亿次,所有通过npm安装最新版本的用户均可能受到波及。Socket AI检测确认,该组件为经过深度混淆处理的恶意加载器,具备高度隐蔽性。
恶意载荷具备多层破坏能力,可清除取证痕迹
该恶意软件在运行后可主动清除或重命名自身操作日志,以规避安全审计;同时将解码后的攻击载荷暂存于系统临时目录及Windows ProgramData路径下,便于持久驻留;更可执行动态解码后的命令行指令,实现远程控制、数据窃取等复杂攻击行为。
安全应对策略
安全专家呼吁所有使用axios的开发团队立即锁定当前稳定版本,停止自动升级机制,并全面审查项目中的依赖锁文件(如package-lock.json),确保未引入未经验证的第三方模块。
声明:本站所有文章内容,均为采集网络资源,不代表本站观点及立场,不构成任何投资建议!如若内容侵犯了原著者的合法权益,可联系本站删除。