AI 中文摘要Claude 生成
一個軟體供應鏈攻擊於 2026 年 3 月 31 日被發現,攻擊者惡意接管了廣泛使用的 axios npm 套件,Vercel 已確認其平台未受影響並採取防禦措施。
攻擊概況
axios npm 套件遭遇活躍的供應鏈攻擊。受影響的版本包括:
npm registry 已移除遭入侵的套件版本,latest tag 現已指向安全的 [email protected]。
Vercel 的防禦行動
Vercel 安全及運算團隊進行了調查並實施多項補救措施:
- 阻止其建置基礎設施對指令與控制伺服器 sfrclak.com 的出站存取
- 從 npm 封鎖並下架惡意版本的套件
- Vercel 自身基礎設施和應用程式未受影響
用戶應採取行動
如果專案在建置環境中使用了遭入侵的套件版本,應進行以下步驟:
- 在 lockfiles 和 node_modules 中搜尋 plain-crypto-js,識別遭入侵的安裝
- 重新部署專案以確保建置使用乾淨版本的 axios
- 輪換所有 API 金鑰、資料庫認證、token 及建置環境中的其他敏感值
- 審查相依性樹,找出 [email protected] 或 [email protected] 的參考並更新至 [email protected]
此事件凸顯了開源軟體供應鏈的脆弱性,即使是廣泛信任的套件也可能成為攻擊目標,使用者需主動檢查並保護自身環境。
The Vercel security and compute teams have conducted an investigation into the malicious takeover of the 𝚊𝚡𝚒𝚘𝚜@𝟷.𝟷𝟺.𝟷 npm package.
— Vercel Developers (@vercel_dev) March 31, 2026
• We’ve blocked outgoing access from our build infrastructure to the Command & Control hostname 𝚜𝚏𝚛𝚌𝚕𝚊𝚔.𝚌𝚘𝚖.
• The malicious…