大工网安告[2026009]

一、 情况分析

Axios 是npm生态中下载量最高的HTTP客户端库之一，广泛应用于React前端、Node.js后端及AI编程工具（如Codex、Claude Code）等场景。

近期监测到axios npm遭遇供应链投毒攻击，攻击者通过劫持Axios核心维护者账号，绕过GitHub Actions CI/CD流程，手动发布axios@1.14.1（针对1.x主线）和axios@0.30.4（针对0.x旧分支）两个恶意版本，植入伪装为crypto-js的恶意依赖plain-crypto-js@4.2.1。该依赖通过postinstall钩子触发混淆脚本setup.js，下载并执行跨平台RAT，实现远程控制、数据窃取与持久化驻留。

二、 影响版本

三、 排查方法

# 检查是否安装恶意版本

npm list axios

# 查看具体版本

npm list axios --depth=0

# 检查lock文件

grep -A 5 '"axios"' package-lock.json | grep version

# 检查plain-crypto-js依赖

npm list plain-crypto-js

四、处置建议

1、使用安全版本：使用非axios 0.30.4和axios 1.14.1的安全版本。

2、更换所有凭证：更换SSH密钥、数据库密码、云服务AccessKey、环境变量等所有鉴权信息

3、全盘病毒查杀：本次攻击具备远程投放木马能力，请安装最新杀毒软件对全盘文件进行查杀。如受攻击时已安装杀毒软件，请清空杀软信任区/白名单后进行查杀。