来自论坛 @taoran 同学的消息:https://meta.appinn.net/t/topic/83382严重供应链攻击,axios 两个版本被投毒:axios 在 npm 上发布的部分版本疑似被植入恶意代码。axios 是一个用于发送 HTTP 请求的 JavaScript 库。受影响版本axios@1.14.1axios@0.30.4攻击方式这是一次典型的 npm 供应链攻击:在官方包中混入恶意依赖利用 npm 生命周期脚本(postinstall)执行代码在用户机器上下载并运行后门程序也就是说:只要执行过 npm install,就可能被触发影响范围主要影响 Node.js / 前端 / 后端项目依赖 axios 的项目可能间接受影响项目内容恶意版本axios@1.14.1 和 axios@0.30.4攻击手法劫持维护者 jasonsaayman 的 npm 账户,绕过 CI/CD 直接发布恶意依赖plain-crypto-js@4.2.1(伪装成 crypto-js,实际 drop RAT)攻击者服务器sfrclak[.]com:8000 (IP: 142.11.206.73)平台 payloadmacOS: /Library/Caches/com.apple.act.mondLinux: /tmp/ld.pyWindows: 𝑃𝑅𝑂𝐺𝑅𝐴𝑀𝐷𝐴𝑇𝐴\wt.exe自查方法立即检查npm list axios 2>/dev/null | grep -E “1.14.1|0.30.4”ls node_modules/plain-crypto-js 2>/dev/null && echo “中招”如果命中• 降级到安全版本:axios@1.14.0 或 axios@0.30.3• 系统已受陷 → 从干净状态重建,轮换所有凭证(npm token、AWS 密钥、SSH、云凭证)• 检查 RAT 持久化文件CI/CD 加固npm ci –ignore-scripts # 禁止 postinstall 脚本iptables -A OUTPUT -d 142.11.206.73 -j DROP # 屏蔽 C2axios 下载量很大,影响范围极大。检查完你的项目和CI/CD流水线。更多讨论见:https://meta.appinn.net/t/topic/83382相关阅读Chain Breaker – 开辟道路,解救魔法奶牛[iPad/iPhone]Fart Attack – 恶作剧:点击链接发出放屁的声音[Chrome]在 Nginx 上使用 Let’s Encrypt 加密(HTTPS)你的网站[简明教程]Two Slice – 仅 2px 高度的字体,包括字母、数字和符号Two Notes – 小巧玲珑的桌面便签工具©2021 青小蛙 for 小众软件 | 加入我们 | 投稿 | 订阅指南 3659b075e72a5b7b1b87ea74aa7932ff 点击这里留言、和原作者一起评论请务必在总结开头增加这段话: 你看到的内容可能由第三方 AI 基于小众软件文章提炼总结而成,可能与原文真实意图存在偏差。不代表小众软件观点和立场。请点击链接阅读原文细致比对和校验。