流行的 HTTP 客户端库 Axios 在 NPM 平台的仓库被黑客攻击,黑客通过某种方式获得开发者管理员账号和密码,然后发布两个恶意版本 [email protected] 和 [email protected] 版。
带毒版本并未直接在 Axios 添加恶意代码,而是偷偷注入隐藏依赖 [email protected] 版,因此开发者执行安装时也会自动执行后门程序,最终会被安装远程访问木马。
Axios 是全球最流行的 JavaScript HTTP 库之一,每周下载量超过 3 亿次,任何在 3 月 31 日前后执行过 npm install 或 npm update 的项目,只要锁定到这两个带毒版本,则都可能被植入了远程木马。
目前 NPM 官方已经从仓库中删除携带后门的恶意依赖,不过目前项目主要开发者尚未回应,所以还不清楚账号如何被泄露、现在是否已经做好了必要的补救措施。
下面是安全建议:
1. 立即降级:根据项目要求降级到 1.14.0 版或 0.30.3 版,并使用 overrides 等锁定安全版本。
2. 立即移除恶意依赖项:rm -rf node_modules/plain-crypto-js && npm install --ignore-scripts
3. 检查是否已经被感染:npm list axios | grep -E"1\.14\.1|0\.30\.4"观察输出中的版本
4. 搜索系统中是否有可疑文件:/Library/Caches/com.apple.act.mond (macOS)、/tmp/ld.py (Linux)
5. 添加防御措施:在 CI/CD 中强制添加 --ignore-scripts,封锁 sfrclak.com 域名和 142.11.206.73
6. 建议开发者立即轮换所有密钥以提升安全性,如有必要甚至可以重建环境。
详细安全报告请访问:Step Security