黑客入侵 Axios 開源專案,利用數百萬次下載推廣惡意軟體
事件概要
2026年3月31日,一名攻擊者入侵了 Axios 領導維護者 jasonsaayman 的 npm 帳戶,並發布了惡意版本,導致數百萬次下載的開源工具被用來傳遞惡意軟體。
惡意版本與攻擊手法
- 惡意版本 1.14.1 與 0.30.4 在安裝時會執行隱藏的腳本,作為跨平臺遠端存取木馬(RAT)的載體。
- 這些惡意版本會在用戶安裝時自動下載並執行,無需使用者主動操作。
- 攻擊者透過惡意依賴關係,使開發者在無意識的情況下安裝了惡意軟體。
影響範圍與後續反應
根據 Huntress 的觀察,超過一百臺裝置受到影響。此事件被視為一次嚴重的供應鏈攻擊,對開發者社群造成重大威脅。
防護建議
開發者應確保其 npm 帳戶安全,並設定 ignore-scripts=true,以避免惡意腳本執行。此外,使用 bun 或 pnpm 等工具也可能提供額外保護。