Axios作为全球最广泛使用的JavaScript库之一,近期被发现其npm包遭恶意篡改。此次事件凸显了依赖管理环节在现代软件开发中的潜在威胁,尤其对涉及数字资产交互的应用构成重大隐患。
一个伪装成官方发布的Axios版本被上传至npm公共仓库,并在数小时内被紧急下架。链上监控团队成功截获该次攻击行为,将其持续时间控制在约三小时之内,避免更大范围扩散。
攻击源于对Axios核心维护账户凭证的非法获取。两个被污染的版本——axios@1.14.1与axios@0.30.4——借助被盗权限完成发布,绕开了GitHub的常规审核流程。目前调查仍在确认账户是否遭受长期渗透。
该攻击被认定为针对十大流行npm包中最复杂的案例之一。恶意版本引入了一个非官方依赖项,其安装脚本可在所有主流操作系统中自动执行,实现隐蔽植入。
受感染客户端将被植入远程控制模块,用于后续投放恶意负载。该程序具备自我清理能力,可替换可疑文件以逃避静态检测机制,提升持久性。
这些被攻击的软件包拥有极高的使用频率,每周下载量可达数千万次。尽管当前尚未报告任何加密货币资产异常转移,但此前类似事件曾导致小额代币损失,金额不足千美元。
研究人员同时识别出另外两个采用相同手法传播恶意代码的包。此次攻击距离上一次代码注入事件仅相隔一周,显示攻击活动呈现密集化趋势。
在攻击期间,暂无明确证据表明具体项目受到破坏或用户钱包被窃取。然而,安全机构已发出预警:无论通过何种方式获取权限,此类漏洞正逐步成为常态化的威胁形态。
受影响的组件覆盖各类应用类型,特别是那些集成钱包功能的前端或后端服务,面临更高风险。一旦恶意逻辑被执行,可能导致身份信息泄露或交易重放攻击。
随着人工智能代理频繁调用第三方包,攻击面正在快速扩大。虽然直接资金损失尚未显现,但用户敏感数据仍处于潜在暴露状态。行业亟需构建更严格的发布验证机制,强化开发者身份认证与代码签名体系,以重建开源生态的信任基础。
声明:文章不代表币圈网立场和观点,不构成本站任何投资建议。内容仅供参考!
免责声明:本站所有内容仅供用户学习和研究,不构成任何投资建议.不对任何信息而导致的任何损失负责.谨慎使用相关数据和内容,并自行承担所带来的一切风险.
