# 策展 · X (Twitter) 🔥

> 作者：Feross (@feross) · 平台：X (Twitter) · 日期：2026-03-31

> 原始來源：https://x.com/feross/status/2038807290422370479

## 中文摘要

熱門 HTTP 客戶端 Axios 遭供應鏈攻擊，惡意套件植入後門。

知名 HTTP 客戶端「Axios」近期遭受供應鏈攻擊，攻擊者透過發布惡意版本（axios@1.14.1 與 axios@0.30.4）植入惡意依賴套件「plain-crypto-js@4.2.1」，導致使用者面臨遠端存取木馬（RAT）威脅。此事件凸顯了開源生態系統中，即便如 Axios 這類擁有億級下載量的熱門套件，也難以倖免於惡意攻擊。

**攻擊手法與惡意行為**
此次攻擊採用了典型的供應鏈植入策略，透過 npm 發布未經官方 GitHub 標記的惡意版本。惡意套件「plain-crypto-js」會在安裝過程中執行 `postinstall` 腳本，透過多層混淆技術（反轉 Base64 與 XOR 加密）隱藏惡意程式碼，並自動偵測作業系統以部署對應的後門：
- **macOS**：利用 AppleScript 下載並執行偽裝成系統守護程序的二進位檔案，建立具備完整功能的 C++ 遠端存取木馬（RAT）。
- **Windows**：將 PowerShell 偽裝成 Windows Terminal 執行，並透過 VBScript 腳本隱藏執行惡意 PowerShell 指令。
- **Linux**：直接下載並執行 Python 腳本。
- **後續清理**：惡意程式執行後會刪除自身並還原為乾淨版本，試圖規避偵測。

**Axios 專案管理漏洞**
此次攻擊揭露了 Axios 在發布流程上的嚴重安全缺口。受影響版本並未出現在官方 GitHub 標籤中，顯示攻擊者繞過了標準發布流程。Axios 維護者坦言，由於攻擊者權限過高，且專案持續使用長期有效的 npm token，導致無法及時撤銷存取權。目前維護團隊正致力於撤銷舊有 token、強化發布控管，並重建安全的發布管道。

**供應鏈安全防護建議**
Socket 安全團隊指出，這類攻擊常透過依賴關係（transitive dependencies）進行連鎖感染，即便開發者未直接安裝惡意套件，也可能因安裝其他套件而受害。針對此類威脅，開發者應採取以下防護措施：
- **檢查依賴**：立即檢查專案中的 `package.json` 與鎖定檔（lockfiles），確認是否包含 `axios@1.14.1`、`axios@0.30.4` 或 `plain-crypto-js@4.2.1`。
- **使用防護工具**：考慮使用如「Socket Firewall」等工具，在安裝套件前攔截並掃描惡意依賴，保護開發環境免受供應鏈攻擊。
- **關注異常**：對於非官方發布管道或異常的依賴更新保持高度警覺，特別是當套件版本號出現不尋常的跳躍或發布時間點異常時。

## 標籤

資安, 開源專案, Axios