【安全资讯】顶级npm包axios遭供应链攻击，植入远程访问木马

概要：

在软件供应链安全日益受到关注的背景下，一次针对流行开源库的精准攻击再次敲响警钟。攻击者通过劫持npm（Node.js包管理器）上广泛使用的HTTP客户端库axios维护者的账户，向两个版本中植入了远程访问木马（RAT）。此次事件因其针对顶级依赖包、攻击手法复杂且影响范围巨大，被安全专家称为“有记录以来影响最严重的npm供应链攻击之一”。

主要内容：

攻击者并未直接篡改axios的核心代码，而是采取了一种更为隐蔽的策略。他们通过被劫持的维护者账户，在发布的“axios@1.14.1”和“axios@0.30.4”两个版本中，植入了一个名为“plain-crypto-js@4.2.1”的恶意依赖包。该包的唯一作用就是作为投递载体，其安装后脚本会从远程服务器获取第二阶段的恶意载荷。

此次攻击绕过了项目正常的GitHub Actions CI/CD流水线和安全检查。攻击者将账户邮箱更改为匿名ProtonMail地址，并手动通过npm CLI发布了受感染的包。安全公司StepSecurity指出，攻击展示了高度的计划性：恶意依赖提前18小时部署，为macOS、Windows和Linux三大操作系统预置了三种不同的载荷，并在39分钟内同时攻击了两个发布分支。

攻击载荷会根据目标操作系统进行伪装和部署。在macOS上伪装成系统守护进程，在Windows上利用PowerShell，在Linux上则使用Python后门。所有恶意活动都设计了自毁机制以清除痕迹，增加了检测难度。由于axios每周下载量高达约1亿次，即使短暂的污染也可能导致恶意软件快速传播。

安全专家警告，任何安装了受影响版本axios的系统都应被视为已遭入侵。建议开发者立即移除相关依赖、轮换所有凭证，并在必要时彻底重建系统。此次事件凸显了软件供应链的脆弱性，以及维护者账户安全与自动化发布流程审核的极端重要性。