更新于 2026 年 3 月 31 日下午 1:28 UTC:本文已更新,加入了 Hacken 高级攻击性安全工程师 Abdelfattah Ibrahim 的评论。
两个恶意的 Axios npm 发布版本已促使开发人员收到警告,要求轮换凭证并将受影响的系统视为已被入侵,此前一次供应链攻击污染了这个流行的 JavaScript HTTP 客户端库。
网络安全公司 Socket 首先报告了这次入侵,称 [email protected] 和 [email protected] 被修改以拉入 [email protected],这是一个恶意依赖项,在这些版本从 npm 移除之前,它在安装过程中会自动运行。
根据安全公司 OX Security 的说法,被篡改的代码可以让攻击者远程访问受感染的设备,使他们能够窃取敏感数据,如登录凭证、API 密钥和加密钱包信息。
这起事件显示了单个被入侵的开源组件如何可能波及依赖它的数千个应用程序,不仅暴露开发人员,还暴露与系统连接的平台和用户。
安全公司敦促密钥轮换、系统审计
OX Security 警告安装了 [email protected] 或 [email protected] 的开发人员将其系统视为完全被入侵,并立即轮换凭证,包括 API 密钥和会话令牌。
Socket 表示,被入侵的 Axios 版本被修改为包含对 [email protected] 的依赖,这是一个在事件发生前不久发布的软件包,后来被确认为恶意软件。
相关:Trust Wallet 浏览器扩展因 Chrome Store "漏洞"而离线,CEO 称
该公司表示,该依赖项被配置为在安装过程中通过安装后脚本自动运行,允许攻击者在目标系统上执行代码,无需额外的用户交互。
Socket 建议开发人员检查其项目和依赖文件中是否存在受影响的 Axios 版本和相关的 [email protected] 软件包,并立即删除或回滚任何被入侵的版本。
Hacken 的高级攻击性安全工程师 Abdelfattah Ibrahim 告诉 Cointelegraph,这次入侵可能对依赖 Axios 进行后端操作的加密货币相关应用程序产生严重影响。
"这对处理加密货币的去中心化应用程序和应用程序来说是个坏消息,因为 Axios 在 API 调用中扮演着重要角色,"他说,并指出受影响的系统可能包括交易所集成、钱包余额检查和交易广播。
Ibrahim 表示,攻击中部署的恶意软件作为完整的远程访问木马运行,允许攻击者直接与被入侵的系统交互。他补充说,这起事件突显了在处理供应链风险方面存在的更广泛弱点。
早期加密货币事件凸显供应链风险
早期的加密货币事件显示了供应链漏洞如何从窃取的开发人员信息升级到面向用户的钱包损失。
1 月 3 日,链上调查员 ZachXBT 报告称,以太坊虚拟机兼容网络上的"数百个"钱包在一次广泛攻击中被掏空,该攻击从每个受害者那里抽取少量资金。
网络安全研究员 Vladimir S. 表示,该事件可能与 12 月影响 Trust Wallet 的漏洞有关,该漏洞导致超过 2,500 个钱包损失约 700 万美元。
Trust Wallet 后来表示,该漏洞可能源于涉及其开发工作流程中使用的 npm 软件包的供应链入侵。
杂志:没人知道量子安全加密技术是否真的有效
来源:https://cointelegraph.com/news/axios-npm-supply-chain-attack-malicious-dependency?utm_source=rss_feed&utm_medium=feed&utm_campaign=rss_partner_inbound
