Axios这个JS界HTTP大杀器,出大事了。两个新版本1.14.1和0.30.4,被黑客塞进了恶意依赖plain-crypto-js 4.2.1。黑客用主要维护者jasonsaayman的npm账号直接发包,绕过了GitHub Actions的CI/CD检查。StepSecurity的分析直指,这玩意儿postinstall脚本就是跨平台RAT投放器。macOS、Windows、Linux全中招。下载量?每周8300万次。想想那些前端框架、后端服务、企业应用,全链路都爱用Axios。加密项目里,DApp调用API、钱包交互,也离不开它。BTC现报$67,277(24h -0.35%),市场小幅回调,开发者正忙着优化链上交互,这时候供应链炸雷,够呛。
攻击手笔不小。Ashish Kurmi说,这不是临时起意。恶意依赖提前18小时上线。三套payload针对三系统,39分钟内双分支全中。时间线清清楚楚:3月30日05:57 UTC,plain-crypto-js@4.2.0干净版上线。23:59 UTC,4.2.1加payload。31日00:21 UTC,axios@1.14.1注入依赖,用jasonsaayman账号发。01:00 UTC,axios@0.30.4跟上。黑客改了账号邮箱到ifstap@proton.me,plain-crypto-js由nrwise@proton.me发。长效npm token让他们直推毒包。
RAT怎么跑?Node.js的setup.js混淆启动。分路:macOS拉AppleScript,从sfrclak.com:8000取二进制,存/Library/Caches/com.apple.act.mond,改权限,zsh后台跑。脚本删痕迹。Windows抄PowerShell到%PROGRAMDATA%\wt.exe,伪装Terminal,VBS从temp拉RAT脚本执行。文件删。Linux用execSync拉Python脚本到/tmp/ld.py,nohup后台。C2统一packages.npm.org/product0(macOS)、product1(Windows)、product2(Linux)。macOS二进制C++ RAT,每60秒心跳,跑shell、枚举文件、杀进程。自毁三步:删postinstall、换package.json用干净package.md、改名避检。Axios源码零恶意,就靠假依赖触发。
Socket分析挖出俩包也中毒:@shadanai/openclaw的2026.3.28-2、2026.3.28-3、2026.3.31-1、2026.3.31-2,直接vendor恶意plain-crypto-js。@qqbrowser/openclaw-qbot@0.0.130,带改版axios@1.14.1。正常axios只三依赖:follow-redirects、form-data、proxy-from-env。多plain-crypto-js就是铁证。npm处理时连锁触发。
开发者醒醒。装了1.14.1或0.30.4,马上换秘密、凭证。降到1.14.0或0.30.3。删plain-crypto-js。查痕迹:macOS /Library/Caches/com.apple.act.mond,Windows %PROGRAMDATA%\wt.exe,Linux /tmp/ld.py。有?全系统凭证轮换。审CI/CD日志,挡sfrclak.com流量。npm已下架毒包。ETH现报$2,053(24h -0.18%),DeFi项目多用Axios调Oracle,这波安全坑够深。开源供应链,维护者账号一丢,百万下载变定时炸弹。黑客预埋payload,自毁痕迹,专业到家。团队得加二阶验证,监控npm动静。JS生态这么火,加密开发别踩雷。StepSecurity提醒,RAT二阶可跑额外payload,文件系统全扫。赶紧自查,防患未然。