GripNews🌗 事後報告:Axios npm 供應鏈遭入侵事件
➤ 透過帳號劫持植入後門:Axios 供應鏈攻擊始末
✤ https://github.com/axios/axios/issues/10636
2026 年 3 月 31 日,知名開源套件 Axios 的兩項版本(1.14.1 及 0.30.4)因主要維護者的 npm 帳號遭駭客入侵,被植入了惡意依賴項 `plain-crypto-js`。此惡意程式碼在短暫存在的三小時內,會針對 macOS、Windows 及 Linux 系統植入遠端存取木馬(RAT)。Axios 團隊隨後證實此攻擊源於針對維護者的社交工程詐騙,目前已採取全面清除設備、重置所有憑證等緊急措施,並計畫導入 OIDC 自動化發布流程以提升安全性。
+ 這提醒了所有開發者,即便是有數百萬次下載的套件,也可能因為單一維護者的個人裝置安全漏洞而崩塌。我們需要更嚴謹的自動化發布機制。
+ 慶幸發現得早!如果是被植入惡意程式碼後長期潛伏,後果將不堪設想。強制採用 OIDC 與多重驗證確實是開源界的當務之急。
#資訊安全 #軟體供應鏈 #Axios #惡意軟體
➤ 透過帳號劫持植入後門:Axios 供應鏈攻擊始末
✤ https://github.com/axios/axios/issues/10636
2026 年 3 月 31 日,知名開源套件 Axios 的兩項版本(1.14.1 及 0.30.4)因主要維護者的 npm 帳號遭駭客入侵,被植入了惡意依賴項 `plain-crypto-js`。此惡意程式碼在短暫存在的三小時內,會針對 macOS、Windows 及 Linux 系統植入遠端存取木馬(RAT)。Axios 團隊隨後證實此攻擊源於針對維護者的社交工程詐騙,目前已採取全面清除設備、重置所有憑證等緊急措施,並計畫導入 OIDC 自動化發布流程以提升安全性。
+ 這提醒了所有開發者,即便是有數百萬次下載的套件,也可能因為單一維護者的個人裝置安全漏洞而崩塌。我們需要更嚴謹的自動化發布機制。
+ 慶幸發現得早!如果是被植入惡意程式碼後長期潛伏,後果將不堪設想。強制採用 OIDC 與多重驗證確實是開源界的當務之急。
#資訊安全 #軟體供應鏈 #Axios #惡意軟體
