📰 npm包axios被植入恶意代码，超10亿下载量受影响

3月30日，安全研究人员发现npm上最受欢迎的JavaScript HTTP客户端库axios的两个恶意版本（1.14.1和0.30.4）。

– 恶意版本注入了一个名为plain-crypto-js@4.2.1的虚假依赖包，从未在axios源码中导入
– 该依赖包含一个postinstall脚本，作为跨平台远程访问木马（RAT）投放器
– 投放器会联系攻击者的命令控制服务器，根据操作系统下载第二阶段payload，执行后自毁并替换package.json以销毁证据
– 这是针对Top 10 npm包有史以来最复杂的供应链攻击之一
– 如果你已安装axios@1.14.1或0.30.4，请立即检查系统是否已被入侵
– axios每周下载量超过1亿次，用户群体庞大

原文链接：https://www.stepsecurity.io/blog/axios-compromised-on-npm-malicious-versions-drop-remote-access-trojan

🕐 发布于: 2026年04月01日 08:07