網易首頁 > 網易號 > 正文 申請入駐

繼LiteLLM后,周下載量超1億次的Axios也被“投毒”!

0
分享至


整理 | 鄭麗媛

出品 | CSDN(ID:CSDNnews)

繼上周,每月下載量高達 9700 萬的 ,本周 JavaScript 生態中幾乎所有前端開發者都用過的 HTTP 客戶端庫 Axios 也“慘遭毒手”:

兩個官方版本被植入后門,只要在窗口期執行過 npm install,黑客就能拿到你設備的完整控制權。

重點在于,沒有報錯,沒有異常提示,甚至連依賴代碼都看起來一切正常——但你的機器,已經在后臺被植入了一個遠程控制木馬。



事件還原:隱蔽 3 小時的“毒更新”,源碼干凈卻暗藏殺招

先用一個數字,來簡單感受一下 Axios 的影響力:每周下載量超過 1 億次。可想而知,這次攻擊的威力,被放大到了一個極其危險的級別。

UTC 時間 3 月 31 日 00:21 到 03:29(對應北京時間 3 月 31 日 8:21 到 11:21),短短 3 小時 8 分鐘,Axios 的兩個核心版本 axios@1.14.1、axios@0.30.4 被悄悄上架 npm 倉庫——看似是正常更新,實則藏著致命后門。

和很多人直覺不同,這次攻擊并沒有利用 Axios 的代碼漏洞。

攻擊者選擇了一條更現實、也更高效的方式:盜走Axios核心維護者@jasonsaayman的 npm 賬號;隨后,把賬號綁定郵箱改成自己控制的 ProtonMail;繞過 GitHub Actions 正常發布流程,手動推送惡意版本。

而如果你檢查這兩個惡意版本,會發現一個非常詭異的現象:Axios 本身的源碼完全干凈。因為問題出在一個新增依賴上:plain-crypto-js@4.2.1。

這個名字酷似正規加密庫的假包,是專門的“木馬投遞器”,其設計堪稱“教科書級隱蔽”:

● 提前 18 小時先發布一個干凈版本(4.2.0),構建“可信歷史”

● 再發布帶后門的 4.2.1版本

而一旦執行 npm install,它的 postinstall 腳本會自動觸發,先通過“反轉 Base64+XOR 加密”兩層混淆隱藏惡意代碼,解密后會連接 sfrclak[.]com:8000,下載對應平臺的二級載荷:

● macOS:C++ 編譯程序釋放至 /Library/Caches/com.apple.act.mond,偽裝成蘋果后臺守護進程;

● Windows:PowerShell 程序復制為 %PROGRAMDATA%\wt.exe,偽裝成 Windows 終端,并寫入注冊表開機自啟;

● Linux:Python 遠控木馬寫入 /tmp/ld.py,通過 nohup 運行,終端關閉仍可駐留。

這三類變種每 60 秒向 C2 服務器回連,可執行任意命令、遍歷文件系統、加載額外載荷,其中macOS 與 Windows 版本還支持內存二進制注入。

更重要的是,執行完成后,木馬會自刪、清除 postinstall 記錄并替換為干凈清單,即便事后檢查 node_modules/plain-crypto-js 也無跡可尋。


誰最危險?VibeCoder成頭號目標

如果說這次攻擊在技術上有什么“創新”,其實并沒有。真正的問題,在開發者的日常習慣里。

可以說,這場攻擊根本不是沖安全工程師來的,而是專門針對習慣“一鍵安裝”的普通開發者——也就是現在常說的“Vibe Coding”群體。

如今,很多開發者依賴 AI 生成代碼、從 Stack Overflow 復制命令,不看 README、不校驗鎖文件,敲完npm install就部署。這種高效 workflow 恰恰成了最大攻擊面:數千家企業的 CI/CD 流水線默認用npm install、不鎖定版本、不禁用腳本——因此,只要在那3小時內拉過全新安裝,安裝完成的瞬間就會徹底淪陷。

要知道,Axios 周下載量超 1 億,覆蓋 17.4 萬個依賴項目,3 小時窗口期的波及范圍難以估量。攻擊者在短時間內同時攻擊 1.x 和 0.x 兩大分支,顯然是精心策劃,最大化覆蓋用戶。哪怕你沒手動更新,只要 CI 自動構建、項目重新安裝依賴,都可能中招——你的 API 密鑰、SSH 密鑰、云憑證、npm 令牌,有可能早已被傳到黑客服務器。


立即自查!3 步排查是否中招,發現痕跡直接重建環境

所以,最好別心存僥幸,可以按以下步驟檢查,1 分鐘即可出結果:

(1)查鎖文件(核心)

可以運行:

find node_modules -name "plain-crypto-js" -type d

如果你用的是 Bun:

grep 'plain-crypto-js' bun.lock

(2)查系統惡意文件

● macOS:/Library/Caches/com.apple.act.mond

● Windows:%PROGRAMDATA%\wt.exe

● Linux:/tmp/ld.py

(3)查網絡外聯

檢查設備是否主動連接過sfrclak[.]com或142.11.206.73:8000。

注意:只要查到任意痕跡,說明機器已經被攻破了,不要手動清理!木馬可能在實時監控,最好直接重建環境。具體可以按以下步驟操作:

● 立即隔離設備,絕對不要在中毒機器上修改任何憑證

● 用干凈設備全量輪換:API 密鑰、SSH 密鑰、GitHub / 云 /npm 令牌,吊銷 + 重發,不只是改密碼

● 核查 3 月 31 日 UTC 的 CI 日志,所有執行過npm install的流水線都要排查

● 網絡屏蔽sfrclak[.]com和142.11.206.73出站流量

● 徹底重建環境,中毒設備永久不可信任

最后提醒:下次用一堆未審計依賴快速開發前,花 10 分鐘檢查下到底裝了什么。npm install 從來不是無風險操作,每一次“一鍵安裝”都有可能是引狼入室。

參考鏈接:https://parthh.in/blogs/axios-backdoored-two-hours-hackers-full-control



【活動分享】"48 小時,與 50+ 位大廠技術決策者,共探 AI 落地真路徑。"由 CSDN&奇點智能研究院聯合舉辦的「全球機器學習技術大會」正式升級為「奇點智能技術大會」。2026 奇點智能技術大會將于 4 月 17-18 日在上海環球港凱悅酒店正式召開,大會聚焦大模型技術演進、智能體系統工程、OpenClaw 生態實踐及 AI 行業落地等十二大專題板塊,特邀來自BAT、京東、微軟、小紅書、美團等頭部企業的 50+ 位技術決策者分享實戰案例。旨在幫助技術管理者與一線 AI 落地人員規避選型風險、降低試錯成本、獲取可復用的工程方法論,真正實現 AI 技術的規模化落地與商業價值轉化。這不僅是一場技術的盛宴,更是決策者把握 2026 AI 拐點的戰略機會。


特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。

Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.

相關推薦
熱點推薦
為啥很多店沒生意,卻一直在營業?網友:普通人怕是開不了茶葉店

為啥很多店沒生意,卻一直在營業?網友:普通人怕是開不了茶葉店

帶你感受人間冷暖
2026-04-22 02:21:30
要不起!拉什福德年薪重回1700萬鎊,曝巴薩確認放棄,曼聯還要嗎

要不起!拉什福德年薪重回1700萬鎊,曝巴薩確認放棄,曼聯還要嗎

夏侯看英超
2026-04-25 00:42:53
果然不出所料,國民黨主席鄭麗文表態了!

果然不出所料,國民黨主席鄭麗文表態了!

達文西看世界
2026-04-24 16:08:18
高市突然強硬!日本宣布攻克稀土磁鐵,外媒:稀土牌恐將失效?

高市突然強硬!日本宣布攻克稀土磁鐵,外媒:稀土牌恐將失效?

瘋狂小菠蘿
2026-04-25 10:49:08
原村支書開鏟車當著民警面把人埋了?網友質疑民警未及時制止;山西代縣公安局:已向警督部門反饋,正處置

原村支書開鏟車當著民警面把人埋了?網友質疑民警未及時制止;山西代縣公安局:已向警督部門反饋,正處置

大風新聞
2026-04-24 17:19:02
4月25日俄烏最新:普京受邀參加G20峰會?

4月25日俄烏最新:普京受邀參加G20峰會?

西樓飲月
2026-04-25 16:23:16
10200mAh!新機官宣:4月27日,正式發布上市!

10200mAh!新機官宣:4月27日,正式發布上市!

科技堡壘
2026-04-23 11:33:29
盧特尼克暴怒:中國一塊芯片也沒買,美國的技術封鎖終于迎來反噬

盧特尼克暴怒:中國一塊芯片也沒買,美國的技術封鎖終于迎來反噬

忠誠TALK
2026-04-24 23:06:00
楊絳說:當你的孩子主動給你買衣服、買吃的,或者主動給你發紅包時,不管你缺不缺錢,有多心疼孩子賺錢辛苦,你都要欣然的收下。因為..

楊絳說:當你的孩子主動給你買衣服、買吃的,或者主動給你發紅包時,不管你缺不缺錢,有多心疼孩子賺錢辛苦,你都要欣然的收下。因為..

大愛三湘
2026-04-25 09:51:37
伊朗巴斯基被投毒:100人中毒倒下

伊朗巴斯基被投毒:100人中毒倒下

桂系007
2026-04-25 17:29:24
伊朗國防部發言人:敵人試圖體面逃離戰爭泥潭

伊朗國防部發言人:敵人試圖體面逃離戰爭泥潭

界面新聞
2026-04-25 18:24:09
今晚開始!CCTV-8、騰優愛殺瘋了, 又4部大劇同時開播, 你想追哪部

今晚開始!CCTV-8、騰優愛殺瘋了, 又4部大劇同時開播, 你想追哪部

喜歡歷史的阿繁
2026-04-25 17:31:22
湖人3-0領先火箭!老詹談與布朗尼季后賽神仙連線:他主動要的!

湖人3-0領先火箭!老詹談與布朗尼季后賽神仙連線:他主動要的!

仰臥撐FTUer
2026-04-25 20:40:19
中央紀委國家監委公開通報八起違反中央八項規定精神典型問題

中央紀委國家監委公開通報八起違反中央八項規定精神典型問題

新華社
2026-04-24 17:05:33
提前起飛10分鐘,大學生把海航告了

提前起飛10分鐘,大學生把海航告了

中國新聞周刊
2026-04-24 18:21:10
2015年,97歲溥任離世,溥儀永遠不知,弟弟的三個兒子有多厲害

2015年,97歲溥任離世,溥儀永遠不知,弟弟的三個兒子有多厲害

邊城少爺
2026-04-25 00:20:31
兩兄弟公司破產的真相!小雞嘴女星復出的代價!

兩兄弟公司破產的真相!小雞嘴女星復出的代價!

八卦瘋叔
2026-04-25 11:34:30
6位央企高管酒后大鬧國外機場,為何2年多才被曝出結果?誰在捂?

6位央企高管酒后大鬧國外機場,為何2年多才被曝出結果?誰在捂?

西門老爹
2026-04-25 15:07:02
西方承認,經過中東這一仗才發現,中國手里3張王牌,別人玩不來

西方承認,經過中東這一仗才發現,中國手里3張王牌,別人玩不來

混沌錄
2026-04-22 19:19:05
?米利唐確定手術,賽季報銷+無緣世界杯

?米利唐確定手術,賽季報銷+無緣世界杯

樂道足球
2026-04-25 20:28:04
2026-04-25 20:51:00
CSDN incentive-icons
CSDN
成就一億技術人
26482文章數 242272關注度
往期回顧 全部

科技要聞

DeepSeek V4發布!黃仁勛預言的"災難"降臨

頭條要聞

男童7歲18斤被當腦癱治多年 父母查其出生病歷發現問題

頭條要聞

男童7歲18斤被當腦癱治多年 父母查其出生病歷發現問題

體育要聞

火箭0-3觸發百分百出局定律:本季加時賽9戰8敗

娛樂要聞

《我們的爸爸2》第一季完美爸爸翻車了

財經要聞

90%訂單消失,中東旺季沒了

汽車要聞

2026款樂道L90亮相北京車展 樂道L80正式官宣

態度原創

親子
數碼
健康
房產
公開課

親子要聞

我國兒童腫瘤生存率首次納入年報體系!5年達76%,不同癌種差異顯著

數碼要聞

雷達感應自動開關燈,Yeelight新品來了

干細胞如何讓燒燙傷皮膚"再生"?

房產要聞

新一輪教育大爆發來了!海口,開始瘋狂建學校!

公開課

李玫瑾:為什么性格比能力更重要?

無障礙瀏覽 進入關懷版