紧急!Axios 被投毒,3亿项目受到影响!教你怎么自查!

Axios 作为周下载超亿次的前端最主流 HTTP 请求库,于 2026年3月30日 被曝出 npm 上两个恶意版本:axios@1.14.1axios@0.30.4 ,属于极高危供应链攻击。

核心攻击方式

  1. 维护者账号被盗 攻击者盗取 axios 核心维护者 npm 账号,直接绕过官方 CI/CD 流程发布恶意版本,无合法 Git 提交与 OIDC 校验,肉眼极难区分真伪。
  2. 植入幽灵依赖 两个恶意版本仅修改 package.json,偷偷加入依赖 plain-crypto-js@4.2.1 ,该包在 axios 源码中完全没有被引用 ,唯一作用就是触发 postinstall 安装钩子。
  3. 跨平台 RAT 远控木马 plain-crypto-js 自带混淆后的恶意脚本 setup.js,安装时自动执行:
  • 识别 macOS / Windows / Linux 系统
  • 连接攻击者 C2 服务器 sfrclak.com:8000 下载对应 payload
  • 窃取本地密钥、SSH、云凭证、环境变量等敏感信息
  1. 极强反侦察能力 木马执行后会自我删除,并把 package.json 替换成干净版本,npm list 会显示正常版本号,事后检查几乎无痕迹。 唯一判断依据node_modules/plain-crypto-js 目录存在即代表已中招。

受影响版本

  • 有毒:axios@1.14.1axios@0.30.4plain-crypto-js@4.2.1
  • 安全:axios@1.14.0axios@0.30.3

前端自查命令

bash 复制代码
# 检查是否安装恶意版本  
npm list axios | grep -E "1\.14\.1|0\.30\.4"  
  
# 检查是否存在恶意依赖目录  
ls node_modules/plain-crypto-js

紧急修复步骤

  1. 降级回安全版本
perl 复制代码
npm install axios@1.14.0  
# 旧版用户  
npm install axios@0.30.3
  1. package.json 锁定版本,防止依赖升级
  2. 删除恶意目录:rm -rf node_modules/plain-crypto-js
  3. CI/CD 构建建议加上 --ignore-scripts 禁用安装钩子
  4. 若机器已执行恶意包,立即轮换所有密钥与凭证,必要时重装环境

高危提醒

该攻击精准度极高、隐蔽性极强,从安装到外联控制仅需数秒,前端项目、本地开发机、CI 流水线均存在泄密风险,务必尽快排查。

相关推荐
世界哪有真情6 小时前
拿人类意识卡 AI?等于用 bug 验收正式产品
前端·人工智能·后端
Listen·Rain7 小时前
Vue3:setup详解
前端·javascript·vue.js
Patrick_Wilson8 小时前
修好 bug 只是开始:一次由监控需求反向重构日志结构的复盘
前端·监控·数据可视化
kyriewen8 小时前
面试官让我优化一个卡死的表格,我打开 Claude 五秒重写,他放下咖啡问我要不要来当组长
前端·javascript·面试
小粉粉hhh9 小时前
React(二)——dom、组件间通信、useEffect
前端·javascript·react.js
Csvn9 小时前
🤖 AI 生成前端代码的 5 个典型翻车现场及修复指南
前端
IT_陈寒10 小时前
SpringBoot自动装配坑了我一天,原来问题出在这
前端·人工智能·后端
索西引擎11 小时前
【React】key 属性:协调算法中的元素标识机制与最佳实践
前端·javascript·react.js
只会cv的前端攻城狮11 小时前
动态组件架构设计:从配置到事件驱动全链路解析
前端·vue.js
飞天狗11 小时前
Next.js 16 App Router 实战:服务端组件与流式渲染
前端·next.js