当前位置: 首页
业界动态
紧急!Axios 被投毒,3亿项目受到影响!教你怎么自查!

紧急!Axios 被投毒,3亿项目受到影响!教你怎么自查!

热心网友 时间:2026-04-14
转载

Axios 惊现恶意版本:一场针对前端生态的精准供应链攻击

2026年3月30日,一场针对前端生态的“地震”发生了。作为每周下载量超亿次、最为主流的HTTP客户端库,Axios被曝出在npm官方仓库中植入了两个恶意版本:axios@1.14.1 和 axios@0.30.4。这可不是普通的安全漏洞,而是一场精心策划、极高危的软件供应链攻击。

免费影视、动漫、音乐、游戏、小说资源长期稳定更新! 👉 点此立即查看 👈

图片攻击事件示意图

核心攻击方式:一场教科书式的“隐秘行动”

先来看攻击是如何实施的。整个过程可谓环环相扣,极具迷惑性,堪称供应链攻击的“教科书案例”。

第一步:维护者账号被盗。 攻击者直接盗取了Axios核心维护者的npm账号。这意味着,恶意版本是由合法账号发布,完全绕过了最新的CI/CD安全检查流程。这些版本没有对应的合法Git提交记录,也没有经过OIDC校验,仅凭肉眼查看npm页面,极难区分真伪。

第二步:植入“幽灵依赖”。 这两个恶意包本身对Axios源码的修改微乎其微,仅在package.json中偷偷加入了一个名为plain-crypto-js@4.2.1的依赖项。蹊跷之处在于,这个包在Axios的源码中完全没有被引用。它的唯一使命,就是触发postinstall这个安装后钩子脚本——木马执行的起点。

第三步:部署跨平台远控木马。 plain-crypto-js包内携带了一个经过混淆的恶意脚本setup.js,在安装时会自动执行。这个脚本的能力相当全面:

  • 自动识别macOS、Windows或Linux系统;
  • 连接攻击者的C2(命令与控制)服务器sfrclak.com:8000
  • 下载对应的攻击载荷(Payload);
  • 窃取本地密钥、SSH凭证、云服务凭据、环境变量等一切敏感信息。

第四步:极强的反侦察“擦除”能力。 这才是整个攻击链最令人警觉的地方。木马执行后,会立刻进行“自我销毁”:不仅删除自身,还会将package.json替换回一个干净的版本。事后再用npm list检查,显示的将是完全正常的版本号,几乎不留痕迹。唯一的物理证据,就是node_modules目录下是否残留着plain-crypto-js这个文件夹。它的存在,就等于系统中招的铁证。

受影响版本:立即核对你的依赖树

以下是明确的版本清单,请务必仔细核对:

  • 有毒版本(立即处理)axios@1.14.1axios@0.30.4plain-crypto-js@4.2.1
  • 安全版本(可回退至)axios@1.14.0axios@0.30.3

前端自查命令:一分钟快速诊断

打开你的项目终端,执行以下命令,快速排查风险:

# 检查是否安装了恶意版本的Axios
npm list axios | grep -E “1\.14\.1|0\.30\.4”

# 检查项目中是否存在恶意的依赖目录
ls node_modules/plain-crypto-js

紧急修复步骤:按顺序操作,杜绝后患

如果发现中招,请立即按以下步骤处理:

  1. 立即降级至安全版本。
    # 主流版本用户
    npm install axios@1.14.0
    
    # 仍在使用旧版的用户
    npm install axios@0.30.3
  2. package.json中精确锁定版本,避免后续依赖升级时再次引入风险。
  3. 物理删除恶意依赖目录。
    rm -rf node_modules/plain-crypto-js
  4. 加固CI/CD流程。 建议在构建命令中增加—ignore-scripts参数,全局禁用安装钩子脚本,从根本上阻断此类攻击途径。
  5. 进行安全评估。 如果机器已经执行过恶意包,必须假设所有密钥和凭证均已泄露。需要立即轮换所有相关的密钥、令牌,在极端情况下,甚至应考虑重置或重装开发环境。

高危提醒:这不是演习

必须警惕的是,此次攻击的精准度和隐蔽性都达到了极高水准。从依赖安装到外联控制,整个过程可能仅在数秒内完成。无论是前端项目、开发者本地机器,还是集成了npm安装的CI/CD流水线,都面临着严重的敏感信息泄露风险。时间紧迫,尽快排查,刻不容缓。

来源:https://www.51cto.com/article/839594.html

游乐网为非赢利性网站,所展示的游戏/软件/文章内容均来自于互联网或第三方用户上传分享,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系youleyoucom@outlook.com。

同类文章
更多
智元GO-2具身智能大模型发布 动作思维链技术引领行业突破

智元GO-2具身智能大模型发布 动作思维链技术引领行业突破

2026年4月9日,智元机器人重磅发布新一代具身智能基座大模型Genie Operator-2(简称GO-2)。此次发布的核心亮点在于其首创的“动作思维链”技术,这一突破性创新精准解决了机器人领域长期存在的核心挑战:如何将精准的语义理解转化为稳定可靠的动作执行。相关研究成果已被计算机视觉顶级会议CV

时间:2026-05-12 13:41
OpenAI CEO山姆・奥特曼住宅遭袭 警方逮捕三名嫌犯

OpenAI CEO山姆・奥特曼住宅遭袭 警方逮捕三名嫌犯

美国旧金山一处高端住宅区近期发生连串治安事件,引发社区安全讨论。该住宅为人工智能领军企业OpenAI首席执行官山姆・奥特曼的住所。据《旧金山标准》独家披露,短短数日内该地点接连遭遇针对性袭击。 首起事件发生于周五夜间,一名20岁男子向奥特曼住宅投掷燃烧装置。事态在周日凌晨进一步升级,凌晨1时40分左

时间:2026-05-12 13:41
2026年垂直行业SCRM解决方案实测与选型指南

2026年垂直行业SCRM解决方案实测与选型指南

进入2026年,企业微信早已成为企业私域运营的标配。然而,一个趋势正变得愈发清晰:过去那种“一招鲜吃遍天”的通用型SCRM工具,正逐渐与企业日益精细、复杂的行业需求脱节。 看看不同行业的真实场景就明白了:教育培训机构需要的是课程直播、回放与AI助教的无缝衔接;金融保险业则把合规话术、精准触达和分层运

时间:2026-05-12 13:41
OpenAI遭供应链攻击 macOS用户速查应用版本防风险

OpenAI遭供应链攻击 macOS用户速查应用版本防风险

OpenAI最近发布了一份安全声明,公开确认其产品受到了一次供应链攻击的影响,而攻击的切入点,正是开发者群体中几乎人人都在用的一个第三方库——Axios。 值得庆幸的是,OpenAI在声明中强调,目前并未发现任何用户数据被盗、内部系统被侵入或软件代码被篡改的证据。不过,他们并没有掉以轻心。公司已经主

时间:2026-05-12 13:41
公司负债倒闭五只猫咪被法拍 起拍价一万知情人称正常可卖五万

公司负债倒闭五只猫咪被法拍 起拍价一万知情人称正常可卖五万

近日,阿里资产司法拍卖平台上线了一则引人关注的特殊拍品——五只活体宠物猫。与常见的房产、车辆等标的物不同,此次拍卖的是由布偶猫与蓝猫组成的猫咪组合,包括三只成年猫与两只幼猫,整体打包进行司法处置。 这五只猫咪的来历颇为特别。它们原是福建南平一家公司为员工饲养的“办公室宠物”,旨在为团队提供情绪舒缓、

时间:2026-05-12 13:40
热门专题
更多
刀塔传奇破解版无限钻石下载大全 刀塔传奇破解版无限钻石下载大全
洛克王国正式正版手游下载安装大全 洛克王国正式正版手游下载安装大全
思美人手游下载专区 思美人手游下载专区
好玩的阿拉德之怒游戏下载合集 好玩的阿拉德之怒游戏下载合集
不思议迷宫手游下载合集 不思议迷宫手游下载合集
百宝袋汉化组游戏最新合集 百宝袋汉化组游戏最新合集
jsk游戏合集30款游戏大全 jsk游戏合集30款游戏大全
宾果消消消原版下载大全 宾果消消消原版下载大全
  • 日榜
  • 周榜
  • 月榜
热门教程
更多
  • 游戏攻略
  • 安卓教程
  • 苹果教程
  • 电脑教程