#安全资讯 紧急安全提醒：月下载量超过 3 亿次的 Axios 开源库遭到黑客攻击，黑客通过 NPM 仓库发布两个带毒版本用来投放远程访问木马。如果你在 3 月 31 日前后执行过安装或更新，请立即降级并轮换所有密钥，如果可以最好直接重建环境。查看全文：https://ourl.co/112415

流行的 HTTP 客户端库 Axios 在 NPM 平台的仓库被黑客攻击，黑客通过某种方式获得开发者管理员账号和密码，然后发布两个恶意版本 [email protected] 和 [email protected] 版。

带毒版本并未直接在 Axios 添加恶意代码，而是偷偷注入隐藏依赖 [email protected] 版，因此开发者执行安装时也会自动执行后门程序，最终会被安装远程访问木马。

Axios 是全球最流行的 JavaScript HTTP 库之一，每周下载量超过 3 亿次，任何在 3 月 31 日前后执行过 npm install 或 npm update 的项目，只要锁定到这两个带毒版本，则都可能被植入了远程木马。

目前 NPM 官方已经从仓库中删除携带后门的恶意依赖，不过目前项目主要开发者尚未回应，所以还不清楚账号如何被泄露、现在是否已经做好了必要的补救措施。

下面是安全建议：

1. 立即降级：根据项目要求降级到 1.14.0 版或 0.30.3 版，并使用 overrides 等锁定安全版本。

2. 立即移除恶意依赖项：rm -rf node_modules/plain-crypto-js && npm install --ignore-scripts

3. 检查是否已经被感染：npm list axios | grep -E "1\.14\.1|0\.30\.4" 观察输出中的版本

4. 搜索系统中是否有可疑文件：/Library/Caches/com.apple.act.mond (macOS)、/tmp/ld.py (Linux)

5. 添加防御措施：在 CI/CD 中强制添加 --ignore-scripts，封锁 sfrclak.com 域名和 142.11.206.73

6. 建议开发者立即轮换所有密钥以提升安全性，如有必要甚至可以重建环境。

详细安全报告请访问：Step Security