Post #3672

🚨供应链安全警报：Axios npm 包被投毒（RAT 后门） 知名 HTTP 客户端库 axios 近期发生供应链攻击事件——攻击者通过盗取维护者 npm 发布权限，将恶意代码注入到官方发布版本中。 📌受影响版本 - [email protected] - [email protected] 📌攻击方式 恶意代码并未直接写入 axios 主体 而是通过新增依赖 [email protected] 利用 postinstall 脚本在安装时下发远程访问木马（RAT） 具备跨平台执行能力，并会尝试隐藏自身 📌影响范围 所有在恶意版本发布期间执行过 npm install 的开发机 / CI / 构建环境 不只是代码层面，而是可能已被远控 ⚠️官方建议（强烈执行） 1. 立即检查依赖： npm ls axios 2. 若曾安装受影响版本： - 立即升级/回滚到安全版本 视为系统已失陷 3. 立刻轮换所有凭据： - npm token / GitHub token - 云服务密钥 / CI secrets - SSH keys / .env 配置 - 检查异常网络请求 & 可疑进程 - 对受影响机器建议重装或隔离取证 🔐 请各位开发者务必重视，尤其是近期有构建/发布操作的团队。 #安全#供应链攻击#npm#axios#网络安全 Source