← 回總覽

Axios 遭受供应链攻击,被植入 npm 恶意依赖

📅 2026-04-01 07:28 Simon Willison 软件编程 1 分鐘 1117 字 評分: 88
Axios 供应链攻击 npm 网络安全 恶意软件
📌 一句话摘要 一份关于 Axios npm 包遭受供应链攻击的关键报告,涉及恶意依赖和令牌泄露,凸显了“可信发布”(Trusted Publishing)的重要性。 📝 详细摘要 Simon Willison 报道了一起针对 Axios 的重大供应链攻击事件。Axios 是一个广泛使用的 HTTP 客户端,每周下载量超过 1 亿次。版本 1.14.1 和 0.30.4 因 npm 令牌泄露而遭到破坏,被植入了恶意依赖 `plain-crypto-js`,该依赖具有窃取凭据和远程访问木马(RAT)的功能。作者指出,恶意版本发布往往缺乏相应的 GitHub 发布记录,并提倡采用“可信发布”机

📌 一句话摘要

一份关于 Axios npm 包遭受供应链攻击的关键报告,涉及恶意依赖和令牌泄露,凸显了“可信发布”(Trusted Publishing)的重要性。

📝 详细摘要

Simon Willison 报道了一起针对 Axios 的重大供应链攻击事件。Axios 是一个广泛使用的 HTTP 客户端,每周下载量超过 1 亿次。版本 1.14.1 和 0.30.4 因 npm 令牌泄露而遭到破坏,被植入了恶意依赖 plain-crypto-js,该依赖具有窃取凭据和远程访问木马(RAT)的功能。作者指出,恶意版本发布往往缺乏相应的 GitHub 发布记录,并提倡采用“可信发布”机制来保护 npm 生态系统。

💡 主要观点

- Axios 因长期有效的 npm 令牌泄露而遭到破坏,影响了 1.14.1 和 0.30.4 版本。 此次入侵使攻击者能够注入恶意依赖 plain-crypto-js,该依赖会窃取凭据并安装远程访问木马。

采用“可信发布”是防御基于令牌攻击的关键手段。 “可信发布”确保只有经过授权的 GitHub Actions 工作流才能发布到 npm,从而消除了长期有效令牌泄露的风险。
npm 更新缺乏相应的 GitHub 发布记录,是检测恶意软件的一个强有力的启发式指标。 恶意行为者通常直接发布到 npm 而不更新源代码仓库,这种不一致性可以作为开发者识别风险的警示信号。

💬 文章金句

- 1.14.1 和 0.30.4 版本都包含了一个名为 plain-crypto-js 的新依赖,这是一种新发布的恶意软件,会窃取凭据并安装远程访问木马(RAT)。

  • 看起来这次攻击源于一个泄露的长期有效 npm 令牌。
  • 这些恶意软件包在发布时没有附带 GitHub 发布记录,这在我看来是识别潜在恶意发布的一个有用的启发式方法。

📊 文章信息

AI 评分:88

来源:Simon Willison's Weblog

作者:Simon Willison

分类:软件编程

语言:英文

阅读时间:1 分钟

字数:131

标签: Axios, 供应链攻击, npm, 网络安全, 恶意软件

阅读完整文章

查看原文 → 發佈: 2026-04-01 07:28:40 收錄: 2026-04-01 10:00:17

🤖 問 AI

針對這篇文章提問,AI 會根據文章內容回答。按 Ctrl+Enter 送出。