axios供应链攻击警报：恶意包潜伏于最新版本

核心提要：npm生态中顶级依赖包axios被曝遭遇实时供应链攻击，新版引入未知恶意组件，威胁全球数百万开发者。专家紧急呼吁锁定版本并暂停更新。

axios遭遇活跃供应链入侵，恶意依赖已嵌入最新版

安全机构Socket Security联合创始人Feross Aboukhadijeh指出，npm平台上使用最广泛的JavaScript库之一axios正面临持续的供应链攻击。作为全球最大的前端代码托管平台，npm汇聚了超200万个开源模块，是现代Web3与全栈开发的核心基础设施。

新版本植入隐蔽恶意组件，攻击行为处于动态执行阶段

最新发布的axios@1.14.1引入了一个此前从未出现的依赖项plain-crypto-js@4.2.1，表明攻击者已在实际部署阶段进行渗透。该事件属于典型的供应链投毒案例。由于axios每周下载量突破1亿次，所有通过npm安装此版本的行为均存在被感染风险。Socket AI检测确认，该组件为经高度混淆处理的恶意加载器，具备隐蔽传播能力。

攻击载荷多维渗透，具备强破坏性与反取证特性

该恶意程序可执行多种高危操作：在运行后自动清除或重命名日志痕迹以规避追踪；将解密后的攻击脚本临时存储于系统临时目录及Windows ProgramData路径；支持远程执行解码后的命令行指令，实现远程控制与数据窃取。

应急响应建议

安全研究人员敦促使用axios的团队立即冻结当前版本，全面审查项目依赖锁文件（如package-lock.json），并在此期间禁止任何版本升级行为，直至官方发布安全补丁。