Axios 安全事件：恶意包三小时侵入超百系统

Axios 库遭恶意版本入侵，跨平台 RAT 暴露关键风险

4月2日，全球广泛应用的 JavaScript HTTP 客户端库 Axios 被曝遭遇供应链攻击。攻击者通过窃取其核心维护者的 npm 访问凭证，发布了两个嵌入跨平台远程控制后门的恶意包，覆盖 macOS、Windows 与 Linux 系统，对开发环境构成直接威胁。

恶意包在注册表存续仅三小时，但已造成广泛渗透

相关恶意模块在 npm 注册表上短暂上线约三小时后即被移除。尽管响应迅速，但据安全机构 Wiz 数据显示，Axios 每周下载量逾一亿次，广泛部署于近八成云基础设施及代码项目中，为攻击扩散提供了天然土壤。

首次感染在发布后不到两分钟即被捕捉

安全公司 Huntress 在恶意包上线后仅89秒便识别出首例异常行为，并在暴露窗口期内确认至少135个系统已被成功入侵，凸显攻击链执行效率之高与防御响应滞后之间的巨大差距。

多重安全机制失效，传统令牌成突破口

值得注意的是，Axios 项目此前已引入 OIDC 可信发布验证与 SLSA 溯源认证等先进安全实践，理论上可有效防止未授权发布。然而调查揭示，项目同时保留了长期有效的传统 NPM_TOKEN，而 npm 平台在双模式共存时默认优先采用旧式令牌，导致攻击者无需突破现代认证体系即可完成恶意发布，暴露了配置协同漏洞。