axios 遭遇供应链攻击:npm 两个版本被恶意篡改
近日,axios 在 npm 上发布的部分版本疑似被植入恶意代码,涉及axios@1.14.1和axios@0.30.4两个版本。此次攻击方式为典型的npm供应链攻击,可能导致执行npm install命令的机器被触发恶意行为。
来自论坛 @taoran 同学的消息:
https://meta.appinn.net/t/topic/83382
严重供应链攻击,axios在npm上发布的部分版本疑似被植入恶意代码。
axios是一个用于发送HTTP请求的JavaScript库。
受影响版本
- axios@1.14.1
- axios@0.30.4
攻击方式
这是一次典型的npm供应链攻击:
- 在官方包中混入恶意依赖
- 利用npm生命周期脚本(postinstall)执行代码
- 在用户机器上下载并运行后门程序
也就是说:只要执行过npm install,就可能被触发。
影响范围
- 主要影响Node.js/前端/后端项目
- 依赖axios的项目可能间接受影响
| 项目 | 内容 |
|---|---|
| 恶意版本 | axios@1.14.1 和 axios@0.30.4 |
| 攻击手法 | 劫持维护者jasonsaayman的npm账户,绕过CI/CD直接发布 |
| 恶意依赖 | plain-crypto-js@4.2.1(伪装成crypto-js,实际dropRAT) |
| 攻击者服务器 | sfrclak[.]com:8000 (IP: 142.11.206.73) |
| 平台payload | macOS: /Library/Caches/com.apple.act.mond Linux: /tmp/ld.py Windows: 𝑃𝑅𝑂𝐺𝑅𝐴𝑀𝐷𝐴𝑇𝐴\wt.exe |
自查方法
- 立即检查
npm list axios 2>/dev/null | grep -E \"1.14.1|0.30.4\"
ls node_modules/plain-crypto-js 2>/dev/null && echo \"⚠️中招\" - 如果命中
• 降级到安全版本:axios@1.14.0 或 axios@0.30.3
• 系统已受陷 → 从干净状态重建,轮换所有凭证(npm token、AWS密钥、SSH、云凭证)
• 检查RAT持久化文件 - CI/CD加固
npm ci –ignore-scripts # 禁止postinstall脚本
iptables -A OUTPUT -d 142.11.206.73 -j DROP # 屏蔽C2
axios下载量很大,影响范围极大。检查完你的项目和CI/CD流水线。