据安全导向公司 Socket Security 的联合创始人 Feross Aboukhadijeh 称,Axios 上存在一条活跃的供应链攻击;Axios 是 npm 依赖量最多的包之一。
NPM 代表 Node Package Manager,本质上是世界上最大的软件注册中心,托管了超过 200 万个开放源代码的 JavaScript 代码包。可以说,它是现代 Web3 开发的支柱。
据 Feross 称,目前最新的 axios@1.14.1 正在拉取 plain-crypto-just@4.2.1,这是一个在今天之前并不存在的包,暗示这是一场正在进行的入侵。
这是一种教科书式的供应链安装器恶意软件。Axios 每周下载量达 1 亿次以上。每一次 npm install 获取最新版本,都可能在当前就已被篡改。Socket AI analyiss 证实这是恶意软件。Plain-crypto-js 是一个被混淆的投递器/加载器。”
恶意软件可以执行一系列操作,包括在执行后删除和重命名工件以销毁取证证据,将载荷文件暂存并复制到 OS 的临时目录以及 Windows 的 ProgramData 目录,执行解码后的 shell 命令,以及更多。
🚨 临界:对 axios 的活跃供应链攻击——npm 依赖量最多的包之一。
最新的 axios@1.14.1 现在拉取 plain-crypto-js@4.2.1,这是一个今天之前不存在的包。这是一次正在进行的入侵。
这是教科书式的供应链安装器恶意软件。axios…
— Feross (@feross) 2026 年 3 月 31 日
这位专家建议,使用 axios 的开发者应立即将版本固定(pin)并审计其 lockfile,同时在此期间先不要进行任何更新。
特别优惠(独家)
Binance 免费 600 美元(CryptoPotato 独家):使用此链接注册新账户,并在 Binance 领取 600 美元的独家欢迎奖励(完整详情)。
CryptoPotato 读者在 Bybit 的限时优惠:使用此链接注册并在任何币种上开立 500 美元的免费仓位!
标签:
黑客