恶意Axios包波及广泛：供应链攻击暴露生态脆弱性

近期，npm平台上两个被恶意篡改的Axios版本引发全球开发者关注，相关组件已被证实携带隐藏后门，导致依赖其的应用系统面临全面失陷风险。

恶意依赖链路曝光：安装即触发隐蔽攻击

网络安全公司Socket率先披露，[email protected]与[email protected]在发布时已遭污染，其构建过程中注入了[email protected]这一恶意依赖项。该包在安装阶段即自动运行，无需用户交互即可完成攻击载荷部署。

OX Security分析指出，此类攻击可使攻击者获得对受感染设备的远程控制权限，进而窃取登录凭据、API密钥及加密钱包数据等核心信息。由于Axios作为主流HTTP库被广泛应用，此次事件可能影响成千上万的关联应用。

应急响应迫在眉睫：系统应视为完全泄露

OX Security明确警告所有使用过受影响版本的团队，必须将相关环境视作已被攻破，立即执行凭证轮换策略，包括但不限于重置所有API密钥、会话令牌和访问密钥。

Socket补充说明，攻击利用“安装后脚本”机制实现自动化执行，极大降低攻击门槛。建议开发者迅速核查项目依赖清单，确认是否存在指定版本的Axios及其关联恶意包，并及时回退至官方认证的安全版本。

开源供应链风险持续升级：从开发者到用户资产受损

历史案例表明，供应链攻击正从信息窃取演变为直接资产损失。今年1月3日，链上分析师ZachXBT报告称，针对以太坊兼容网络的大规模攻击中，数百个钱包遭遇小额资金被盗。

研究者Vladimir S.指出，该事件或与去年12月影响Trust Wallet的漏洞有关，后者因开发流程中引入受污染的npm包，造成超2500个钱包损失约700万美元。Trust Wallet官方确认，此次漏洞根源在于其依赖链中的第三方包被供应链攻击渗透。