摘要:npm 上 axios 的两个版本被植入恶意依赖 [email protected],导致加密开发者面临远程控制与凭证泄露风险。安全机构警告需立即降级并排查系统。
axios 恶意版本引发跨平台安全风暴,开发者须即刻行动
知名区块链安全公司 Slow Fog 揭露,[email protected] 与 [email protected] 在维护者账户遭入侵后被标记为恶意版本,其引入的 [email protected] 包通过安装后脚本部署跨平台远程访问木马,威胁广泛使用 Node.js 的加密应用环境。
核心包遭劫持,依赖链成攻击入口
在主维护者 jasonsaayman 的 npm 凭证被盗后,攻击者利用该权限发布恶意版本,将伪造的 [email protected] 作为隐性依赖注入。尽管此包本身无直接恶意代码,但其安装后执行的混淆脚本可实现对 Windows、macOS 及 Linux 系统的远程控制,造成严重安全隐患。
协同攻击模式暴露生态系统脆弱性
分析显示,恶意 [email protected] 在 axios 攻击版本发布前数分钟上线,表明存在精准协调的供应链攻击链条。该策略绕过常规 GitHub 验证流程,借助已信任的发布机制完成渗透,使攻击具备高度隐蔽性与传播效率。
高危影响范围波及关键基础设施
由于 axios 每周下载量超 8000 万次,此次事件可能影响钱包后端、交易机器人、去中心化金融协议及交易所系统。尤其使用 [email protected] 的用户,若曾通过全局安装方式获取受影响版本,其主机已处于被监控或操控风险中,必须立即更换所有相关凭证并进行深度系统审计。
历史教训警示:加密领域持续遭受定向打击
此类攻击并非孤立事件。2025 年已有超过 18 个流行 npm 包被篡改,包括 chalk 与 debug,用于窃取钱包资产。据 SlowMist 统计,仅上半年因后门软件包与 AI 辅助攻击造成的损失就突破 23 亿美元。当前建议明确:所有项目应将 axios 降级至 1.14.0,并全面扫描依赖树中是否存在 [email protected] 或 openclaw 相关痕迹,视作所有凭据已泄露。
声明:本站所有文章内容,均为采集网络资源,不代表本站观点及立场,不构成任何投资建议!如若内容侵犯了原著者的合法权益,可联系本站删除。