Axios供应链攻击警报：数亿下载套件现恶意代码传播

核心提要：热门JavaScript库Axios被曝存在供应链攻击风险，最新版本自动加载可疑依赖，引发全球开发者警惕。安全机构警告，该漏洞可能影响超亿次下载环境。

Axios核心套件遭恶意注入，全球开发者面临潜在威胁

一款广受使用的开源JavaScript库在近期被发现存在供应链攻击迹象，其最新版本被证实可触发远程恶意代码执行，波及范围覆盖数亿次下载量。

新发布依赖项异常，疑似遭入侵的投放器已上线

调查指出，当前版本的Axios会自动引入一个名为[email protected]的外部模块，该组件为当日新建项目，注册行为与正常开源流程显著不符，已被确认为恶意植入载体。

混淆型恶意载荷潜伏于系统临时路径，具备隐蔽渗透能力

经分析，该恶意程序采用高度混淆的“投放器”结构，主要功能为在目标环境中下载并运行后续攻击脚本。其执行后将清除日志文件以规避追踪，并将有效载荷部署至系统临时目录及Windows ProgramData区域。

专家呼吁立即锁定版本，强化开发环境安全管控

针对此次事件，安全团队建议所有使用Axios的项目立即停止升级至最新版，回滚至可信历史版本，并对package-lock.json等锁文件进行深度扫描，防止恶意代码嵌入生产环境。