供应链攻击袭击Axios npm版本，用户被敦促更新密钥_新闻

免责声明：内容不构成买卖依据，投资有风险，入市需谨慎！

供应链攻击袭击Axios npm版本，用户被敦促更新密钥

2026-03-31 20:45:58

两个恶意Axios npm版本引发安全警报

在供应链攻击污染了流行的JavaScript HTTP客户端库后，两个恶意Axios npm版本的发布已促使开发者立即更换凭证并将受影响系统视为已遭入侵。

攻击链分析

网络安全公司Socket最早报告了此次攻击事件。该公司指出，axios@1.14.1和axios@0.30.4这两个版本被篡改，引入了plain-crypto-js@4.2.1这一恶意依赖包。该依赖包会在安装过程中自动运行，相关版本已在npm仓库中被移除。

据安全公司OX Security分析，被篡改的代码可能使攻击者远程访问受感染的设备，窃取登录凭证、API密钥和加密钱包信息等敏感数据。这一事件表明，单个开源组件的安全漏洞可能波及数以千计的依赖应用程序，不仅危及开发者，还可能威胁与之关联的平台和用户。

安全建议与应对措施

OX Security警告安装过受影响版本Axios的开发者，应将其系统视为已完全失陷，并立即更换包括API密钥和会话令牌在内的所有凭证。

Socket公司进一步说明，被篡改的Axios版本通过"安装后脚本"配置，使恶意依赖包能在安装阶段自动执行，攻击者无需额外交互即可在目标系统运行代码。建议开发者立即检查项目依赖文件，确认是否引用了受影响的Axios版本及关联的恶意包，并及时移除或回退至安全版本。

供应链安全风险警示

此前发生的多起加密安全事件已揭示，供应链攻击可能从窃取开发者信息升级为直接导致用户资产损失。今年1月3日，链上调查员ZachXBT报告称，在针对以太坊虚拟机兼容网络的大规模攻击中，数百个钱包遭到小额资产盗取。网络安全研究员Vladimir S.指出该事件可能与去年12月影响Trust Wallet的安全漏洞相关，该漏洞导致超过2500个钱包损失约700万美元。

Trust Wallet后续声明，此次漏洞可能源于其开发工作流中使用的npm包遭受供应链攻击。这一系列事件凸显了开源生态系统面临的供应链安全挑战。

免责声明：

本网站、超链接、相关应用程序、论坛、博客等媒体账户以及其他平台和用户发布的所有内容均来源于第三方平台及平台用户。百亿财经对于网站及其内容不作任何类型的保证，网站所有区块链相关数据以及其他内容资料仅供用户学习及研究之用，不构成任何投资、法律等其他领域的建议和依据。百亿财经用户以及其他第三方平台在本网站发布的任何内容均由其个人负责，与百亿财经无关。百亿财经不对任何因使用本网站信息而导致的任何损失负责。您需谨慎使用相关数据及内容，并自行承担所带来的一切风险。强烈建议您独自对内容进行研究、审查、分析和验证。

展开阅读全文