严重供应链攻击,axios 两个版本被投毒。
核心信息
| 项目 | 内容 |
|---|---|
| 恶意版本 | [email protected] 和 [email protected] |
| 攻击手法 | 劫持维护者 jasonsaayman 的 npm 账户,绕过 CI/CD 直接发布 |
| 恶意依赖 | [email protected](伪装成 crypto-js,实际 drop RAT) |
| C2 服务器 | sfrclak.com:8000 (IP: 142.11.206.73) |
| 平台 payload | macOS: /Library/Caches/com.apple.act.mond Linux: /tmp/ld.py Windows: PROGRAMDATA\wt.exe |
你需要做的
- 立即检查
npm list axios 2>/dev/null | grep -E “1.14.1|0.30.4”
ls node_modules/plain-crypto-js 2>/dev/null && echo “
中招” - 如果命中
• 降级到安全版本:[email protected] 或 [email protected]
• 系统已受陷 → 从干净状态重建,轮换所有凭证(npm token、AWS 密钥、SSH、云凭证)
• 检查 RAT 持久化文件(见上表路径) - CI/CD 加固
npm ci --ignore-scripts # 禁止 postinstall 脚本
iptables -A OUTPUT -d 142.11.206.73 -j DROP # 屏蔽 C2
axios 周下载量 3 亿+,影响范围极大。检查完你的项目和CI/CD流水线。
供应链安全警报:Axios npm 包被投毒(RAT 后门)
知名 HTTP 客户端库 axios 近期发生供应链攻击事件——攻击者通过盗取维护者 npm 发布权限,将恶意代码注入到官方发布版本中。
受影响版本
- [email protected]
- [email protected]
攻击方式
恶意代码并未直接写入 axios 主体
而是通过新增依赖 [email protected]
利用 postinstall 脚本在安装时下发远程访问木马(RAT)
具备跨平台执行能力,并会尝试隐藏自身
影响范围
所有在恶意版本发布期间执行过 npm install 的开发机 / CI / 构建环境
不只是代码层面,而是可能已被远控
官方建议(强烈执行)
- 立即检查依赖: npm ls axios
- 若曾安装受影响版本:
- 立即升级/回滚到安全版本
- 视为系统已失陷
- 立刻轮换所有凭据:
- npm token / GitHub token
- 云服务密钥 / CI secrets
- SSH keys / .env 配置
- 检查异常网络请求 & 可疑进程
- 对受影响机器建议重装或隔离取证
请各位开发者务必重视,尤其是近期有构建/发布操作的团队。
安全 #供应链攻击 #npm #axios #网络安全
Source (axios Compromised on npm - Malicious Versions Drop Remote Access Trojan - StepSecurity)
