• 全部
  • 产业
  • Web 3.0
  • DAO
  • DeFi
  • 符文
  • 空投再质押
  • 以太坊
  • Meme
  • 比特币L2
  • 以太坊L2
  • 研报
  • 头条
  • 投资

免责声明:内容不构成买卖依据,投资有风险,入市需谨慎!

Axios供应链攻击加剧加密钱包安全风险

2026-03-31 17:01:59
收藏

Axios作为最受欢迎的JavaScript库之一,可能已遭入侵并涉及一起加密货币钱包攻击。npm软件包攻击正变得越来越普遍,直接威胁着项目、开发者和终端用户。

Axios npm攻击事件

一个Axios npm软件包被发布至官方JavaScript库,并在几小时后被撤回。链上安全专家拦截了此次持续约三小时的攻击。

攻击是如何发生的?

攻击通过npm软件包维护者的凭证入侵实现。受影响的软件包被确认为axios@1.14.1与axios@0.30.4。研究人员仍在核查账户被盗的迹象。

安全机构是最早发现此问题的团队之一。两个恶意版本的Axios HTTP客户端库通过被盗的Axios核心维护者凭证发布,绕过了GitHub的正常发布流程。

据分析,这是针对广泛使用的十大npm软件包中最复杂的一次攻击。恶意版本注入了一个未在axios源代码中导入的新依赖项。该依赖项会在所有操作系统上运行安装后脚本。

用户使用受感染的npm后,客户端会被植入远程访问木马投放器。该恶意软件还会删除自身并用干净的版本替换可疑文件以规避检测。

哪些类型的项目受到影响?

这些npm软件包属于每周下载量高达数千万次的热门工具。但目前尚未出现加密货币异常转移的报告。此前类似的npm攻击仅造成约一千美元的小额代币损失。

研究人员还发现了另外两个以相同方式投放负载的恶意软件包。此次攻击距离另一次代码注入事件仅相隔一周。

在攻击持续期间,未发现相关项目受影响或加密货币被盗的报告。但已有警告指出,无论是通过凭证窃取还是未授权发布,npm攻击可能将趋于常态化。

行业影响与警示

受影响的软件包不仅限于特定类型项目,任何关联加密货币钱包的组件都可能遭受威胁。此类事件可能削弱整个开源生态系统的信任度,行业呼吁建立更安全的软件发布路径。

人工智能代理的自动化包下载行为可能加速威胁传播。虽然对加密货币钱包的实际影响未必立即显现,但用户钱包数据仍面临潜在风险。

免责声明:

本网站、超链接、相关应用程序、论坛、博客等媒体账户以及其他平台和用户发布的所有内容均来源于第三方平台及平台用户。百亿财经对于网站及其内容不作任何类型的保证,网站所有区块链相关数据以及其他内容资料仅供用户学习及研究之用,不构成任何投资、法律等其他领域的建议和依据。百亿财经用户以及其他第三方平台在本网站发布的任何内容均由其个人负责,与百亿财经无关。百亿财经不对任何因使用本网站信息而导致的任何损失负责。您需谨慎使用相关数据及内容,并自行承担所带来的一切风险。强烈建议您独自对内容进行研究、审查、分析和验证。

展开阅读全文
20.00% 80.00%
利好
利空

热门币种

更多
更多新闻
自选
我的自选
查看全部
市值 价格 24h%
SVG Image