摘要:npm 平台曝出 axios 恶意版本事件,攻击者通过伪造依赖包部署跨平台远程控制木马,波及加密开发者。安全机构提醒立即降级并轮换凭证。
axios 恶意版本被曝植入远程控制后门,影响范围广泛
知名区块链安全公司 Slow Fog 揭露,近期发布的 [email protected] 与 [email protected] 版本被植入恶意依赖 [email protected],该组件在安装后触发隐藏脚本,部署可跨 Windows、macOS 及 Linux 系统运行的远程访问工具,严重威胁加密项目开发环境。
恶意依赖静默注入,导致多平台系统遭远程操控
此次攻击利用维护者账户被盗漏洞,使攻击者绕过常规发布流程,将含恶意代码的 [email protected] 强行嵌入 axios 项目中。由于 axios 在 npm 上周下载量超 8000 万次,受影响范围涵盖钱包后端、交易机器人及 DeFi 基础设施等关键链上服务。
攻击链路高度协同,时间窗口极短
据 StepSecurity 分析,恶意包 [email protected] 在 axios 攻击版本发布前数分钟上线,表明其为精心策划的协同式供应链攻击。该包本身不包含直接恶意逻辑,仅通过混淆的安装后脚本执行命令,实现隐蔽入侵与痕迹清除。
账户劫持是核心突破口,凭证泄露风险极高
攻击者通过窃取主维护者 jasonsaayman 的 npm 凭证完成版本发布,绕开 GitHub 验证机制。安全专家 Julian Harris 指出,此为典型活跃攻击案例,且该恶意版本已具备执行 Shell 命令与自动擦除日志的能力,极大提升隐蔽性。
历史教训叠加现实威胁,行业警钟再响
该事件重演 2025 年大规模篡改流行包的攻击模式,当时包括 chalk 与 debug 在内的 18 个包被植入后门,累计下载量突破 10 亿次。慢雾(SlowMist)统计显示,2025 年上半年因供应链攻击和 AI 辅助手段造成的加密资产损失已超 23 亿美元。当前建议所有用户立即将 axios 降级至 1.14.0,并全面排查是否存在 [email protected] 及 openclaw 相关组件,同时默认所有关联凭证已被泄露。
声明:本站所有文章内容,均为采集网络资源,不代表本站观点及立场,不构成任何投资建议!如若内容侵犯了原著者的合法权益,可联系本站删除。