HackerNews 编译,转载请注明出处:
一场复杂的供应链攻击瞄准了Axios——JavaScript生态系统中使用最广泛的HTTP客户端之一——通过向官方npm注册表引入恶意传递依赖。
作为前端框架、后端微服务和企业应用的关键组件,Axios在npm上每周下载量约8300万次。
此次入侵涉及未经授权发布的新版Axios,自动引入plain-crypto-js@4.2.1——一个经自动恶意软件检测系统确认含有恶意代码的新发布包。
鉴于Axios在现代Web开发中的广泛集成,此次供应链投毒的潜在影响范围极广,下游用户需立即启动事件响应程序。
据Socket分析,威胁行为体通过打破项目标准发布模式执行此次攻击。
通常,Axios维护者会在GitHub发布带标签的版本,同时发布至npm。然而,被入侵的npm版本并未出现在项目官方GitHub仓库标签中。
事发时,GitHub上最新可见标签仍为v1.14.0,表明恶意更新是在正常部署流程之外直接推送至npm注册表的。
这种绕过标准版本控制的行为表明,攻击者经过高度协调,试图静默注入恶意代码。恶意载荷依赖plain-crypto-js@4.2.1于2026年3月30日23:59:12 UTC发布至注册表。
数分钟内,被入侵的Axios版本即被推送上线。Socket的自动恶意软件检测于3月31日00:05:41 UTC迅速标记异常plain-crypto-js包,凸显攻击者为在安全工具反应前最大化感染而设计的快速执行序列。
为在初始感染阶段规避即时检测,攻击者对Axios主代码库改动极小——唯一修改是将恶意plain-crypto-js包添加至依赖树。
利用小而精准的改动是供应链攻击中常规且高效的战术。这使威胁行为体可通过传递依赖执行任意代码,同时避免伴随大规模代码修改或逻辑变更而来的审查。
注册表日志调查显示,恶意包与npm发布者账户jasonsaayman关联。该账户出现在被入侵依赖链中,引发对未授权包发布能力的严重关切,指向潜在账户接管、开发者凭证泄露或会话令牌被劫持,使攻击者得以直接向npm注册表认证并发布恶意构件。
安全团队、DevOps工程师和开发者必须立即审计其软件供应链,识别并移除被入侵组件。项目维护者应彻底审查项目锁定文件、依赖图、功能分支和开放拉取请求,排查是否存在受影响版本暴露。
| 被入侵包 | 版本 | 恶意依赖 |
|---|---|---|
| Axios | 1.14.1 | plain-crypto-js@4.2.1 |
| Axios | 0.30.4 | plain-crypto-js@4.2.1 |
| plain-crypto-js | 4.2.1 | 主要恶意载荷 |
若环境中检测到上述任何特定包版本,必须完全移除或回退依赖至已知安全版本(如Axios 1.14.0),以防止注入代码执行。
鉴于这是持续且快速发展的安全事件,需持续进行威胁搜寻和监控,以确定入侵全部范围并防止进一步利用。
消息来源:cybersecuritynews.com;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文