Gate News 消息,4 月 2 日,JavaScript 最流行的 HTTP 用戶端函式庫 Axios 遭供應鏈攻擊。攻擊者竊取了 Axios 首席維護者的 npm 存取令牌,利用該令牌發布了兩個包含跨平台遠端存取木馬(RAT)的惡意版本(axios@1.14.1 和 axios@0.30.4),目標覆蓋 macOS、Windows 及 Linux 系統。惡意套件在 npm 註冊表上存活約 3 小時後被移除。據資安公司 Wiz 資料,Axios 每週下載量超過 1 億次,存在於約 80% 的雲端與程式碼環境中。資安公司 Huntress 在惡意套件上架後 89 秒即偵測到首批感染,並在暴露窗口期內確認至少 135 個系統遭到入侵。值得注意的是,Axios 專案此前已部署了 OIDC 可信發布機制和 SLSA 溯源證明等現代安全措施,但攻擊者完全繞過了這些防線。調查發現,專案在設定 OIDC 的同時仍保留了傳統且長期有效的 NPM_TOKEN,而 npm 在兩者共存時會預設優先使用傳統令牌,使得攻擊者無需突破 OIDC 即可完成發布。
