【安全资讯】Axios npm包遭劫持，投递跨平台远程访问木马

概要：

在软件供应链安全日益受到关注的背景下，一场针对流行开源组件的精准攻击浮出水面。拥有超过4亿月下载量的JavaScript HTTP客户端库Axios的npm官方账户遭黑客入侵，攻击者发布了两个恶意版本，向Linux、Windows和macOS系统投递远程访问木马（RAT），其影响范围可能极为广泛。

主要内容：

此次攻击始于攻击者成功入侵了Axios主要维护者的npm账户。他们并未直接修改Axios的核心代码，而是巧妙地在package.json文件中注入了一个名为plain-crypto-js@^4.2.1的恶意依赖项。该依赖项在软件包安装时会执行一个后安装脚本，启动一个经过混淆的投放器（setup.js）。

投放器会联系命令与控制（C2）服务器，根据检测到的操作系统下载并执行下一阶段的有效载荷。攻击链针对不同平台高度定制化：在Windows上混合使用VBScript和PowerShell；在macOS上利用AppleScript；在Linux上则使用Python脚本。最终，所有受感染主机均被植入功能强大的RAT。

该RAT能够执行攻击者下发的命令，维持持久化访问，并可检索、执行经过base64编码的二进制文件，通过shell或AppleScript执行命令，以及枚举受感染主机上的目录。攻击完成后，投放器会删除自身并替换为干净的package.json文件，增加了取证的难度。

安全研究人员指出，此次攻击并非机会主义行为，而是经过精心策划，恶意依赖项被提前18小时部署。尽管近期有名为TeamPCP的黑客组织声称对多起供应链攻击负责，但此次Axios攻击事件的特征与之不符，幕后黑手身份尚不明确。用户应立即检查并锁定使用axios@1.14.0或axios@0.30.3版本。