根据专注于安全的公司Socket Security联合创始人Feross Aboukhadijeh的说法,Axios正在遭受活跃的供应链攻击,而Axios是npm最依赖的软件包之一。NPM代表Node Package Manager,基本上是世界上最大的软件注册表,托管着超过200万个开源JavaScript代码包。可以说它是现代Web3开发的支柱。
根据Feross的说法,最新的[email protected]目前正在拉取[email protected],这是一个在今天之前不存在的软件包,表明这是一个实时攻击。这是典型的供应链安装程序恶意软件。Axios每周下载量超过1亿次。现在每个拉取最新版本的npm安装都可能受到攻击。
Socket AI分析确认这是恶意软件。Plain-crypto-js是一个经过混淆处理的投放器/加载器。该恶意软件可以执行一系列操作,包括删除和重命名执行后的文件以销毁取证证据,将有效负载文件暂存并复制到操作系统临时目录和Windows ProgramData目录,执行解码后的shell命令等。
专家建议使用axios的开发人员立即固定其版本并审核锁定文件,同时暂时避免任何更新。
本网站所有区块链相关数据与资料仅供用户学习及研究之用,不构成任何投资建议。转载请注明出处:https://www.lianxinshe666.com/2026/03/31/%e4%b8%93%e5%ae%b6%e8%ad%a6%e5%91%8a%ef%bc%9aaxios%e6%ad%a3%e9%81%ad%e5%8f%97%e4%b8%a5%e9%87%8d%e7%9a%84%e6%8c%81%e7%bb%ad%e4%be%9b%e5%ba%94%e9%93%be%e6%94%bb%e5%87%bb/
