Axios npm 遭遇供应链攻击：请立即更换 API 密钥

• 流行的 JavaScript HTTP 客户端库 Axios 在遭受供应链攻击后发布了安全警报。
• Axios 1.14.1 和 0.30.4 版本被确认已遭窜改并含有恶意代码。
• 开发人员和用户被敦促立即更换在受影响环境中使用的所有 API 密钥、登录凭据和会话令牌。

恶意版本的发现

网络安全公司 Socket 和 OX Security 最近发现广泛使用的 npm 包 Axios 有两个版本遭到破坏。受影响的版本为 axios@1.14.1 和 axios@0.30.4，它们被修改为包含一个名为 plain-crypto-js@4.2.1 的恶意依赖项。该依赖项在攻击发生前不久发布，并被设计为在安装过程中通过安装后脚本自动运行。

根据 OX Security 的说法，修改后的代码允许攻击者远程访问受感染的设备。这种未经授权的访问可能导致敏感数据被盗，包括：

• 登录凭据和会话令牌
• 各类服务使用的 API 密钥
• 加密货币钱包信息

对开发者的影响与建议

此次事件凸显了开源生态系统的脆弱性，单个受损组件可能会波及成千上万个下游应用。Socket 指出，由于恶意脚本无需用户交互即可运行，任何下载了这些特定 Axios 版本的系统都应被视为已完全受损。

安全专家建议开发人员立即检查其项目的依赖文件。如果发现受影响的版本，应立即删除或回滚到已知的安全版本。此外，必须更换存储在这些系统上或通过这些系统访问的所有凭据，以防止进一步的攻击利用。

供应链漏洞的历史背景

此次违规事件遵循了针对加密货币领域的供应链攻击模式。1 月 3 日，链上调查员 ZachXBT 报告称，以太坊虚拟机 (EVM) 兼容网络上的数百个钱包资金被盗。Vladimir S. 等研究人员认为，这些事件可能与 12 月发生的 Trust Wallet 违规事件有关。

那次早期的入侵导致超过 2,500 个钱包损失了约 700 万美元，也被归因于开发流程中使用的 npm 包供应链受损。这些事件强调了对金融和区块链应用中使用的第三方库进行严格安全审计的迫切需求。