摘要:npm生态中顶级依赖包axios被曝存在活跃供应链攻击,最新版本引入未知恶意依赖,可能危及全球数百万开发环境。安全机构警告立即锁定版本并开展依赖审计。
axios遭遇实时供应链入侵,恶意组件已嵌入最新版本
全球领先的开源包管理平台npm中,使用频率最高的JavaScript库axios正面临严峻的供应链安全威胁。据Socket Security联合创始人Feross Aboukhadijeh披露,该组件当前版本已植入未经授权的恶意依赖项,表明攻击行为处于持续渗透阶段。
恶意依赖悄然植入,执行后可隐蔽破坏系统完整性
在axios@1.14.1版本中,首次出现名为plain-crypto-js@4.2.1的未知依赖包,其来源与官方发布记录不符,已被确认为伪装成合法模块的恶意加载器。由于axios每周下载量逾亿次,所有采用自动更新机制的项目均可能遭受感染。
攻击载荷具备高度隐蔽性与破坏力,可实现远程控制
经Socket AI深度分析,该恶意组件经过多重混淆处理,具备删除操作日志、重命名关键文件以规避检测的能力;同时能将解码后的指令暂存于系统临时目录或Windows ProgramData路径,并执行任意shell命令,形成持久化后门。
应急响应建议
安全团队敦促所有使用axios的开发人员立即冻结依赖版本,全面审查package-lock.json等锁文件,暂停任何自动升级流程,直至官方发布修复补丁并完成风险评估。
声明:本站所有文章内容,均为采集网络资源,不代表本站观点及立场,不构成任何投资建议!如若内容侵犯了原著者的合法权益,可联系本站删除。