axios 又出事了：npm 两个版本被供应链投毒

axios 又出事了：npm 两个版本被供应链投毒
嗯，用户让我总结一下这篇文章的内容，控制在100字以内，而且不需要特定的开头。首先，我得通读文章，抓住主要信息。文章讲的是axios这个库被供应链攻击了，两个版本被投毒。攻击者劫持了维护者的账户，发布了恶意依赖。这些依赖在安装时会执行后门程序，影响Node.js项目。自查方法包括检查版本和依赖，还有加固CI/CD的方法。接下来，我需要把这些要点浓缩到100字以内。要确保涵盖攻击对象、方式、影响范围和应对措施。可能的结构是：对象+事件+攻击方式+影响+应对。比如：“axios遭遇供应链攻击，两个版本被植入恶意代码。攻击者通过劫持维护者账户发布恶意依赖，并利用postinstall脚本触发后门程序。受影响项目需检查版本并采取加固措施。” 这样大概控制在100字左右。再检查一下有没有遗漏的关键点：axios是HTTP库，受影响版本是1.14.1和0.30.4，攻击手法包括劫持账户、发布恶意依赖、利用postinstall脚本下载后门程序。影响范围主要是Node.js项目。应对措施包括自查和加固CI/CD。确认一下字数，确保不超过限制。可能需要调整用词使其更简洁。 </think> axios遭遇供应链攻击，两个版本被植入恶意代码。攻击者通过劫持维护者账户发布恶意依赖，并利用postinstall脚本触发后门程序。受影响项目需检查版本并采取加固措施。 2026-4-1 04:14:36 Author: www.appinn.com(查看原文) 阅读量:5 收藏

来自论坛 @taoran 同学的消息：https://meta.appinn.net/t/topic/83382

严重供应链攻击，axios 两个版本被投毒：axios 在 npm 上发布的部分版本疑似被植入恶意代码。

axios 是一个用于发送 HTTP 请求的 JavaScript 库。

受影响版本

[email protected]
[email protected]

攻击方式

这是一次典型的 npm 供应链攻击：

在官方包中混入恶意依赖
利用 npm 生命周期脚本（postinstall）执行代码
在用户机器上下载并运行后门程序

也就是说：只要执行过 npm install，就可能被触发

影响范围

主要影响 Node.js / 前端 / 后端项目
依赖 axios 的项目可能间接受影响

项目	内容
恶意版本	[email protected] 和 [email protected]
攻击手法	劫持维护者 jasonsaayman 的 npm 账户，绕过 CI/CD 直接发布
恶意依赖	[email protected]（伪装成 crypto-js，实际 drop RAT）
攻击者服务器	sfrclak[.]com:8000 (IP: 142.11.206.73)
平台 payload	macOS: /Library/Caches/com.apple.act.mond Linux: /tmp/ld.py Windows: 𝑃⁢𝑅⁢𝑂⁢𝐺⁡𝑅⁢𝐴⁢𝑀⁢𝐷⁢𝐴⁢𝑇⁢𝐴\wt.exe

自查方法

立即检查
npm list axios 2>/dev/null | grep -E “1.14.1|0.30.4”
ls node_modules/plain-crypto-js 2>/dev/null && echo “⚠️中招”
如果命中
• 降级到安全版本：[email protected] 或 [email protected]
• 系统已受陷 → 从干净状态重建，轮换所有凭证（npm token、AWS 密钥、SSH、云凭证）
• 检查 RAT 持久化文件
CI/CD 加固
npm ci –ignore-scripts # 禁止 postinstall 脚本
iptables -A OUTPUT -d 142.11.206.73 -j DROP # 屏蔽 C2

axios 下载量很大，影响范围极大。检查完你的项目和CI/CD流水线。

更多讨论见：https://meta.appinn.net/t/topic/83382

文章来源: https://www.appinn.com/axios-supply-chain-attack-two-versions/
如有侵权请联系:admin#unsafe.sh