微新 commands
2026年3月30日,安全机构StepSecurity披露了一个严重的npm包污染事件。Axios库的两个npm版本1.14.1和0.30.4被攻击者恶意篡改。攻击者通过劫持维护者的npm账号,成功绕过了常规的持续集成流程,手动发布了被污染的包。这一行为导致了潜在的安全风险,影响了依赖这些版本的项目。
攻击者利用了伪造的依赖plain-crypto-js@4.2.1,通过该依赖的postinstall脚本在执行npm install时自动运行setup.js。setup.js会下载并执行一个跨平台木马程序。在不同的操作系统中,该木马会以不同的方式伪装自己,以避免被用户察觉。在macOS系统中,木马伪装为系统缓存进程;在Windows系统中,它伪装为wt.exe;而在Linux系统中,它通过nohup命令运行ld.py。
一旦系统被感染,木马会自动清除自身运行的痕迹,使得检测和清除变得极为困难。这种隐蔽性增加了攻击的威胁程度,也对用户的系统安全构成了严重挑战。
对于使用Axios库的开发者,建议立即检查项目中使用的版本以及相关依赖是否受到污染。如果发现使用了被篡改的版本,应尽快升级到安全版本。同时,开发者还应重置npm账号的凭证,以防止进一步的账户被入侵或滥用。此外,建议对依赖项进行定期审计,确保所有第三方库的安全性。
