Axios恶意版本入侵引发连锁安全危机

核心提要：两个被篡改的Axios npm版本在安装时植入恶意依赖，导致开发者系统面临数据泄露风险。安全机构警告受影响用户立即更换凭证并排查依赖链。

恶意Axios包渗透事件触发大规模安全响应

近期，npm平台上两个被污染的Axios版本引发行业警觉，其引入的恶意组件已导致多套开发环境遭远程控制，迫使大量项目紧急修复并重置密钥。

恶意依赖链追溯：从安装脚本到数据窃取

网络安全公司Socket率先披露，axios@1.14.1与axios@0.30.4在发布后被注入了plain-crypto-js@4.2.1这一伪装性依赖包。该模块在安装阶段即通过预设脚本自动运行，实现无交互式代码执行，且相关版本已被从官方仓库中下架。

OX Security分析指出，攻击者可借此获取受感染设备的完整访问权限，进而提取登录凭据、加密钱包私钥及各类敏感接口密钥。此类攻击具有极强隐蔽性，一旦传播将波及成千上万依赖该库的应用程序。

应对策略：系统视为失陷，全面凭证轮换

OX Security明确要求所有使用过受影响Axios版本的开发者，将自身环境认定为已被攻破，并立即更新所有身份验证信息，包括但不限于API密钥、会话令牌和数据库连接凭证。

Socket补充说明，此次攻击利用了npm包的“安装后脚本”机制，在不需用户干预的情况下完成恶意行为部署。建议团队核查package.json与lock文件，确认是否存在异常依赖，并及时回滚至可信版本或替换为经验证的安全替代品。

开源供应链风险再升级：从开发者到用户资产

此前多起事件已揭示，供应链攻击正由信息窃取演变为直接资产盗用。1月3日，链上分析师ZachXBT追踪到针对以太坊兼容网络的大规模攻击，数百个钱包遭遇小额资金流失。

研究员Vladimir S.指出，该事件可能与去年12月影响Trust Wallet的漏洞有关，后者因依赖项遭受污染，造成超2500个钱包损失约700万美元。Trust Wallet事后确认，问题根源系其构建流程中使用的npm包遭到供应链劫持，再次暴露开源生态在信任链管理上的深层缺陷。