← 回總覽

Axios 软件包遭入侵及修复步骤 - Vercel

📅 2026-03-31 21:00 Vercel Security 软件编程 1 分鐘 1026 字 評分: 86
供应链攻击 NPM 安全 Axios Vercel 网络安全
📌 一句话摘要 Vercel 发布了一份关于 axios npm 软件包遭供应链攻击的安全公告,提供了具体的受影响版本以及开发人员需采取的关键修复步骤。 📝 详细摘要 本文详细介绍了 2026 年 3 月 31 日发现的广泛使用的 axios npm 软件包遭供应链入侵的事件。虽然 Vercel 的内部系统未受影响,但该平台已封锁了恶意的命令与控制(C2)主机名,并下架了受损版本。公告指出 axios@1.14.1 和 axios@0.30.4 为恶意版本,通常与名为 plain-crypto-js 的依赖项捆绑在一起。敦促开发人员审计其锁文件(lockfiles)、轮换敏感凭据,并降级至

📌 一句话摘要

Vercel 发布了一份关于 axios npm 软件包遭供应链攻击的安全公告,提供了具体的受影响版本以及开发人员需采取的关键修复步骤。

📝 详细摘要

本文详细介绍了 2026 年 3 月 31 日发现的广泛使用的 axios npm 软件包遭供应链入侵的事件。虽然 Vercel 的内部系统未受影响,但该平台已封锁了恶意的命令与控制(C2)主机名,并下架了受损版本。公告指出 axios@1.14.1 和 axios@0.30.4 为恶意版本,通常与名为 plain-crypto-js 的依赖项捆绑在一起。敦促开发人员审计其锁文件(lockfiles)、轮换敏感凭据,并降级至安全的 axios@1.14.0 版本。

💡 主要观点

- 立即识别并移除受损的 Axios 版本。 1.14.1 和 0.30.4 版本已被证实属于供应链攻击的一部分,应替换为安全的 1.14.0 版本。

审计依赖项,检查是否存在恶意的 plain-crypto-js 软件包。 此次攻击涉及一个次级恶意依赖项;在锁文件中搜索该特定软件包是判断是否遭入侵的关键指标。
轮换所有敏感环境变量和凭据。 由于构建环境可能已暴露给 C2 服务器,因此在构建过程中存在的任何 API 密钥或数据库令牌都必须被视为已泄露。

💬 文章金句

- axios npm 软件包在 2026 年 3 月 31 日发现的一起活跃供应链攻击中遭到了入侵。

  • 我们已封锁了从构建基础设施到命令与控制(C2)主机名 sfrclak.com 的外发访问。
  • 轮换 API 密钥、数据库凭据、令牌以及构建环境中存在的任何其他敏感值。

📊 文章信息

AI 评分:86

来源:Vercel News

作者:Vercel Security

分类:软件编程

语言:英文

阅读时间:1 分钟

字数:206

标签: 供应链攻击, NPM 安全, Axios, Vercel, 网络安全

阅读完整文章

查看原文 → 發佈: 2026-03-31 21:00:00 收錄: 2026-03-31 16:00:18

🤖 問 AI

針對這篇文章提問,AI 會根據文章內容回答。按 Ctrl+Enter 送出。