近日,知名开源HTTP客户端库axios遭遇严重供应链安全事件。攻击者劫持axios核心维护者的npm账户,发布了1.14.1和0.30.4两个恶意版本,在拥有数百万下载量的开源包中植入了跨平台远程访问木马(RAT)。axios作为npm生态系统中下载量排名前十的包,每周下载量超过5000万次,这两个恶意版本在被下架前已有一定数量的下载,具体影响范围仍在评估中。
此次攻击展现出极高的专业性和预谋性。攻击者先劫持axios核心维护者的npm账户,将邮箱修改为ProtonMail匿名地址,绕过正常的GitHub Actions CI/CD流程,使用npm CLI手动发布恶意版本。与常见的直接篡改源代码不同,攻击者采用隐蔽的依赖注入方式,新增看似正常的依赖包`plain-crypto-js@4.2.1`,该包在axios源码中从未被引用,其唯一功能是通过`postinstall`脚本在安装时执行恶意代码。这种“影子依赖”技术让代码审计难以发现异常,因为axios本身代码干净。
攻击者构建了针对macOS、Windows和Linux三个主流平台的定制化载荷。安装恶意版本后,脚本会检测操作系统类型,从远程命令控制服务器下载对应的第二阶段攻击载荷。在macOS上,木马使用AppleScript作为投递机制;Windows版本结合VBScript和PowerShell;Linux平台采用Python脚本。恶意脚本执行流程体现高度反取证设计,载荷运行后,木马会立即删除自身痕迹,并将`package.json`文件替换为干净的“诱饵”版本,开发者事后检查`node_modules`目录几乎发现不了异常。
网络安全公司StepSecurity第一时间发现并披露攻击,npm官方和axios维护团队接到披露后紧急下架相关版本。安全专家建议开发者立即检查项目中axios版本号,如安装过1.14.1或0.30.4,应假设系统已受感染;回退至安全版本(1.14.0或0.30.3);对受影响的开发环境和服务器进行完整的安全审计;轮换所有可能暴露的敏感凭据。
编辑观点:此次axios供应链安全事件为全行业敲响警钟,开源库虽便利,但安全防护不能松懈。企业需加强对开源依赖的管理,及时更新安全策略,防止类似事件再次发生。
