恶意版本的Axios引发安全警告
Slow Fog警告称,恶意版本的Axios引入了名为plain-crypto-js的恶意软件,使加密开发者面临跨平台远程访问木马(RAT)和凭证被盗的风险。区块链安全公司Slow Fog发出紧急安全提醒,指出新发布的版本1.14.1和0.3.4引入了一个恶意依赖项,成为针对加密开发者的供应链攻击工具。
影响范围与攻击方式
Axios在npm上的每周下载量超过8000万,这意味着即使是短暂的安全漏洞也可能对基于Node.js构建的钱包后端、交易机器人、交易所和去中心化金融基础设施产生广泛影响。Slow Fog在其公告中警告称,“通过npm install -g安装1.14.1的用户可能面临风险”,并建议立即更换凭证并对主机进行全面调查,以查找被攻击的迹象。
攻击细节与后果
此次攻击依赖于一个假冒的加密包plain-crypto-js,该包被悄悄添加为新依赖项,仅用于执行一个模糊化的postinstall脚本,该脚本会在Windows、macOS和Linux系统上投放跨平台的远程访问木马。安全公司StepSecurity解释称,“恶意版本内部的Axios本身并不包含一行恶意代码”,而是“注入了一个假依赖项plain-crypto-js,其唯一目的是运行一个postinstall脚本,部署一个跨平台的远程访问木马(RAT)。”
安全工程师Julian Harris在LinkedIn上写道:“这是1.14.1的实时供应链妥协,它新依赖于plain-crypto-js—一个在几小时前发布并被识别为模糊化恶意软件的包,该包执行shell命令并抹去痕迹。”
后续措施与建议
npm现已删除了恶意版本,并将Axios的解析恢复到1.14.0,但在攻击窗口期间拉取了1.14.1或0.3.4的任何环境仍然面临风险,直到凭证被更换并系统被重建。此次妥协与早期直接针对加密用户的npm事件相呼应,包括2025年的一次活动,其中18个流行包如chalk和debug悄悄交换钱包地址以窃取资金,促使Ledger首席技术官Charles Guillemet警告称,“受影响的包已经被下载超过10亿次。”
研究人员还记录了npm恶意软件窃取以太坊、XRP和Solana钱包的密钥,SlowMist估计,2025年上半年,加密黑客和欺诈(包括后门包和AI辅助的供应链攻击)造成的损失超过23亿美元。目前,Slow Fog的建议很明确:将Axios降级到1.14.0,审计依赖项以查找任何plain-crypto-js或openclaw的痕迹,并假设任何接触过这些环境的凭证都已被泄露。
总结与警示
在之前关于JavaScript供应链攻击的crypto.news报道中,Ledger的Guillemet警告称,下载超过20亿次的受损npm包对基于Node.js构建的去中心化应用程序和钱包构成了系统性风险。另一篇报道详细介绍了朝鲜的拉撒路集团如何植入恶意npm包,以后门开发者环境并针对Solana和Exodus钱包用户。第三篇关于下一代恶意软件的crypto.news报道显示,通过npm和低成本AI工具的后门供应链攻击如何帮助犯罪分子远程控制超过4200台开发者机器,并导致数十亿美元的加密损失。
