Axios npm包遭劫持：三小时窗口期暴露供应链脆弱性

Axios作为全球最广泛使用的JavaScript库之一，其npm包近期遭遇严重安全事件，疑似被恶意注入并用于加密货币钱包攻击。此次攻击凸显了软件包生态系统中日益严峻的供应链威胁，直接波及开发者与终端用户的安全防线。

核心依赖遭篡改：恶意版本短暂上线即被拦截

一个伪装成官方发布的Axios npm包在短时间内被部署至公共仓库，随后于数小时内被紧急撤回。链上安全团队成功捕获该攻击行为，将其控制在约三小时的时间窗口内，避免了更大范围扩散。

攻击路径解析：凭证泄露驱动非法发布

攻击者通过窃取Axios项目核心维护者的账户凭据，绕过GitHub的正常发布验证机制，将恶意代码植入[email protected]与[email protected]两个版本。目前调查仍在确认具体被盗账户的痕迹。

该攻击是针对十大流行npm包中最复杂的一次，恶意版本引入了一个未经源码授权的新依赖项。此依赖项在安装后会自动执行跨平台脚本，实现远程指令接收功能。

受感染客户端将被植入远程访问木马投放器，具备自我清理能力，并以合法版本覆盖可疑文件，有效规避常规安全检测手段。

受影响范围评估：高下载量工具面临潜在风险

相关软件包每周下载量达数千万次，涵盖大量前端与后端应用。截至目前，尚未报告任何加密资产异常转移事件。历史类似攻击仅导致小额代币损失，金额不足千美元。

研究人员同时识别出另外两个采用相同技术手法的恶意包。此次事件距离前一次代码注入攻击仅一周之隔，表明攻击者正加速重复使用成熟战术。

尽管攻击期间未出现项目受损或资金被盗的明确证据，但业界已发出预警：无论通过何种方式获取权限，未经授权的发布行为正逐步成为常态。

生态信任危机与防御升级需求

所有涉及加密货币钱包交互的组件均可能成为攻击目标。此类事件若频繁发生，将严重动摇开源社区的可信基础。行业亟需构建更严密的软件发布审核机制。

人工智能代理自动下载包的行为可能加剧威胁传播速度。虽然当前未见钱包资金直接损失，但用户身份信息与私钥数据仍处于长期暴露风险之中。