知名区块链安全公司 Slow Fog 揭露,axios@1.14.1 与 axios@0.3.4 被标记为恶意版本,其背后嵌入的 plain-crypto-js@4.2.1 包可执行隐蔽安装脚本,部署支持 Windows、macOS 及 Linux 的远程控制木马,对加密开发者的系统安全构成严重威胁。
此次攻击源于主要维护者 jasonsaayman 的 npm 凭证遭窃,攻击者借此绕过常规发布流程,将含恶意依赖的版本推送到公共仓库。尽管 npm 已回滚至 1.14.0 版本,但此前已下载该版本的用户仍存在风险,尤其使用 openclaw@2026.3.28 的环境需立即更换凭据并排查主机异常。
恶意软件以伪装成加密工具的 plain-crypto-js@4.2.1 形式被引入,其核心功能并非直接执行攻击代码,而是通过安装后脚本在目标系统上部署跨平台远程访问后门。该脚本经过深度混淆处理,可绕过常规安全检测,并具备清除日志痕迹的能力。
分析指出,plain-crypto-js@4.2.1 在 axios 攻击版本发布前数分钟即上线,表明攻击者可能预谋已久,实施精准协同供应链入侵。此类攻击模式显示,攻击者正逐步转向“低暴露、高隐蔽”的策略,利用开发者对依赖包的信任实现长期潜伏。
此事件与 2025 年多起针对 npm 生态的恶意篡改案高度相似,包括 chalk、debug 等 18 个高流量包被植入后门,累计影响超十亿次下载。相关数据显示,仅 2025 年上半年,由供应链漏洞引发的加密资产损失已突破 23 亿美元。Slow Fog 建议所有受影响项目立即降级 axios 至 1.14.0,全面扫描依赖链中是否存在 plain-crypto-js@4.2.1 或 openclaw 相关组件,并默认所有曾接触该环境的凭证均已泄露。
声明:文章不代表币圈网立场和观点,不构成本站任何投资建议。内容仅供参考!
免责声明:本站所有内容仅供用户学习和研究,不构成任何投资建议.不对任何信息而导致的任何损失负责.谨慎使用相关数据和内容,并自行承担所带来的一切风险.
