NPM套件Axios遭遇供應鏈攻擊,駭客鎖定三大平臺散佈RAT木馬
攻擊事件概述
據報導,駭客透過注入惡意依賴包,對廣泛使用的NPM套件Axios進行供應鏈攻擊,導致其被用作遠端木馬(RAT)的投放器。攻擊者利用維護者jasonsaayman的npm帳戶,將惡意代碼植入Axios套件,並發布惡意版本(如v1.14.1和v0.30.4)。
惡意版本與影響範圍
- 惡意版本axios@1.14.1被一個此前不存在的惡意包plain-crypto-js@4.2.1攻陷。
- 該惡意版本被植入至多個開發者專案中,可能影響龐大開發生態。
- OpenClaw 3.28版本被發現內部依賴拉取了惡意包axios@1.14.1,造成全局node_modules汙染,屬於典型間接供應鏈投毒。
開發者應對建議
建議使用Axios的開發者立即固定至安全版本,並審查專案中的package.json與鎖定文件(lock file),以防止惡意代碼執行。
相關來源與技術細節
此事件顯示NPM生態系統面臨嚴重供應鏈風險,駭客透過網釣攻擊入侵維護人員帳戶,再將惡意程式碼注入流行套件,造成廣泛影響。