当前位置: 首页
业界动态
紧急!Axios 被投毒,3亿项目受到影响!教你怎么自查!

紧急!Axios 被投毒,3亿项目受到影响!教你怎么自查!

热心网友 时间:2026-04-14
转载

Axios 惊现恶意版本:一场针对前端生态的精准供应链攻击

2026年3月30日,一场针对前端生态的“地震”发生了。作为每周下载量超亿次、最为主流的HTTP客户端库,Axios被曝出在npm官方仓库中植入了两个恶意版本:axios@1.14.1 和 axios@0.30.4。这可不是普通的安全漏洞,而是一场精心策划、极高危的软件供应链攻击。

图片攻击事件示意图

核心攻击方式:一场教科书式的“隐秘行动”

先来看攻击是如何实施的。整个过程可谓环环相扣,极具迷惑性,堪称供应链攻击的“教科书案例”。

第一步:维护者账号被盗。 攻击者直接盗取了Axios核心维护者的npm账号。这意味着,恶意版本是由合法账号发布,完全绕过了最新的CI/CD安全检查流程。这些版本没有对应的合法Git提交记录,也没有经过OIDC校验,仅凭肉眼查看npm页面,极难区分真伪。

第二步:植入“幽灵依赖”。 这两个恶意包本身对Axios源码的修改微乎其微,仅在package.json中偷偷加入了一个名为plain-crypto-js@4.2.1的依赖项。蹊跷之处在于,这个包在Axios的源码中完全没有被引用。它的唯一使命,就是触发postinstall这个安装后钩子脚本——木马执行的起点。

第三步:部署跨平台远控木马。 plain-crypto-js包内携带了一个经过混淆的恶意脚本setup.js,在安装时会自动执行。这个脚本的能力相当全面:

  • 自动识别macOS、Windows或Linux系统;
  • 连接攻击者的C2(命令与控制)服务器sfrclak.com:8000
  • 下载对应的攻击载荷(Payload);
  • 窃取本地密钥、SSH凭证、云服务凭据、环境变量等一切敏感信息。

第四步:极强的反侦察“擦除”能力。 这才是整个攻击链最令人警觉的地方。木马执行后,会立刻进行“自我销毁”:不仅删除自身,还会将package.json替换回一个干净的版本。事后再用npm list检查,显示的将是完全正常的版本号,几乎不留痕迹。唯一的物理证据,就是node_modules目录下是否残留着plain-crypto-js这个文件夹。它的存在,就等于系统中招的铁证。

受影响版本:立即核对你的依赖树

以下是明确的版本清单,请务必仔细核对:

  • 有毒版本(立即处理)axios@1.14.1axios@0.30.4plain-crypto-js@4.2.1
  • 安全版本(可回退至)axios@1.14.0axios@0.30.3

前端自查命令:一分钟快速诊断

打开你的项目终端,执行以下命令,快速排查风险:

# 检查是否安装了恶意版本的Axios
npm list axios | grep -E “1\.14\.1|0\.30\.4”

# 检查项目中是否存在恶意的依赖目录
ls node_modules/plain-crypto-js

紧急修复步骤:按顺序操作,杜绝后患

如果发现中招,请立即按以下步骤处理:

  1. 立即降级至安全版本。
    # 主流版本用户
    npm install axios@1.14.0
    
    # 仍在使用旧版的用户
    npm install axios@0.30.3
  2. package.json中精确锁定版本,避免后续依赖升级时再次引入风险。
  3. 物理删除恶意依赖目录。
    rm -rf node_modules/plain-crypto-js
  4. 加固CI/CD流程。 建议在构建命令中增加—ignore-scripts参数,全局禁用安装钩子脚本,从根本上阻断此类攻击途径。
  5. 进行安全评估。 如果机器已经执行过恶意包,必须假设所有密钥和凭证均已泄露。需要立即轮换所有相关的密钥、令牌,在极端情况下,甚至应考虑重置或重装开发环境。

高危提醒:这不是演习

必须警惕的是,此次攻击的精准度和隐蔽性都达到了极高水准。从依赖安装到外联控制,整个过程可能仅在数秒内完成。无论是前端项目、开发者本地机器,还是集成了npm安装的CI/CD流水线,都面临着严重的敏感信息泄露风险。时间紧迫,尽快排查,刻不容缓。

来源:https://www.51cto.com/article/839594.html

游乐网为非赢利性网站,所展示的游戏/软件/文章内容均来自于互联网或第三方用户上传分享,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系youleyoucom@outlook.com。

同类文章
更多
上汽名爵MG 4X纯电SUV上市售价9.2万元

上汽名爵MG 4X纯电SUV上市售价9.2万元

2026年5月28日,上汽名爵正式发布了备受期待的全新纯电紧凑型SUV——MG 4X。该车官方指导价区间为9 98万元至11 68万元,叠加购车权益后实际入手门槛可低至9 28万元至10 98万元。这一价格区间在当前的纯电紧凑型SUV市场中,展现出极强的价格竞争力和性价比优势。 MG 4X基于上汽星

时间:2026-05-30 21:32
优衣库等多品牌App违规收集个人信息被通报

优衣库等多品牌App违规收集个人信息被通报

5月28日,上海市网信办再度打出“组合拳”:5月25日发布的2026年第二批消费零售专项通报中,不少消费者耳熟能详的品牌赫然在列——优衣库、沪上阿姨、汉堡王、可口可乐、迪卡侬等消费零售行业巨头,均因App或小程序存在收集非必要个人信息等问题被点名通报。 具体名单如下(原文附有完整列表,此处按通报原文

时间:2026-05-30 21:31
711雪糕'夯爆了'误印成'劣爆了' 网友热议

711雪糕'夯爆了'误印成'劣爆了' 网友热议

你是否注意到,近两年有个网络热词频繁刷屏——“夯爆了”,几乎无处不在,用来形容扎实、超厉害、棒极了。然而最近,广东某家711门店却因一次印刷失误,把原本想蹭的热词玩出了“翻车”效果。事情是这样的:该门店为了宣传新品生牛乳与巧克力口味雪糕,计划制作一张海报,原本应印上“夯爆了”三个字。结果不知是排版小

时间:2026-05-30 21:30
树莓派1 B+发布12年后年出货量仍达数千块

树莓派1 B+发布12年后年出货量仍达数千块

5月28日消息,Raspberry Pi(树莓派)官方日前在Reddit上举办了一场AMA(问我任何事)活动,针对这款知名单板计算机(SBC)的最新动态,回答了网友们的热切提问。 一个很有意思的细节是:树莓派官方透露,2014年发布的Raspberry 1 B+,到今天——已经过去了整整12年——仍

时间:2026-05-30 21:29
AI学习机品牌推荐 技术实力与服务俱佳

AI学习机品牌推荐 技术实力与服务俱佳

随着人工智能技术日益深入地融入家庭教育场景,AI学习机已从“可选项”逐步转变为许多家庭的“必备品”。家长在选购时,最关注的已不再是花哨的噱头,而是品牌信誉是否可靠、AI能力是否扎实、学习资源是否权威、售后服务是否稳定。尤其是2026年市场上涌现出大量新品,家长更需要一份清晰、客观、中立的高质量品牌清

时间:2026-05-30 21:28
热门专题
更多
刀塔传奇破解版无限钻石下载大全 刀塔传奇破解版无限钻石下载大全
洛克王国正式正版手游下载安装大全 洛克王国正式正版手游下载安装大全
思美人手游下载专区 思美人手游下载专区
好玩的阿拉德之怒游戏下载合集 好玩的阿拉德之怒游戏下载合集
不思议迷宫手游下载合集 不思议迷宫手游下载合集
百宝袋汉化组游戏最新合集 百宝袋汉化组游戏最新合集
jsk游戏合集30款游戏大全 jsk游戏合集30款游戏大全
宾果消消消原版下载大全 宾果消消消原版下载大全
  • 日榜
  • 周榜
  • 月榜
热门教程
更多
  • 游戏攻略
  • 安卓教程
  • 苹果教程
  • 电脑教程