开源 HTTP 客户端库 Axios 遭供应链劫持,恶意版本植入跨平台木马
知名开源HTTP客户端库axios近日遭遇严重供应链安全事件。攻击者通过劫持axios核心维护者的npm账户,发布了两个恶意版本(1.14.1和0.30.4),在数百万下载量的开源包中植入了跨平台远程访问木马(RAT)。网络安全公司StepSecurity第一时间发现并披露了这一攻击。 据介绍,此次攻击展现了极高的专业性和预谋性。攻击者首先劫持了一位axios核心维护者的npm账户,将其邮箱修改为ProtonMail匿名地址,绕过正常的GitHub Actions CI/CD流程,直接使用npm CLI手动发布了恶意版本。 与常见的直接篡改源代码不同,攻击者采用了更为隐蔽的依赖注入方式。恶意版本中新增了一个看似正常的依赖包plain-crypto-js@4.2.1,该包在axios源码中从未被引用,其唯一功能是通过postinstall脚本在安装时执行恶意代码。这种"影子依赖"技术使得代码审计难以发现异常,因为axios本身的代码是干净的。 攻击者构建了针对macOS、Windows和Linux三个主流平台的定制化载荷。安装恶意版本后,脚本会检测操作系统类型,从远程命令控制服务器下载对...
