# 策展 · X (Twitter) 🔥

> 作者：Vercel Developers (@vercel_dev) · 平台：X (Twitter) · 日期：2026-03-31

> 原始來源：https://x.com/vercel_dev/status/2038872028300927287

## 中文摘要

一個軟體供應鏈攻擊於 2026 年 3 月 31 日被發現，攻擊者惡意接管了廣泛使用的 axios npm 套件，Vercel 已確認其平台未受影響並採取防禦措施。

**攻擊概況**

axios npm 套件遭遇活躍的供應鏈攻擊。受影響的版本包括：
- axios@1.14.1
- axios@0.30.4
- plain-crypto-js@4.2.1

npm registry 已移除遭入侵的套件版本，latest tag 現已指向安全的 axios@1.14.0。

**Vercel 的防禦行動**

Vercel 安全及運算團隊進行了調查並實施多項補救措施：
- 阻止其建置基礎設施對指令與控制伺服器 sfrclak.com 的出站存取
- 從 npm 封鎖並下架惡意版本的套件
- Vercel 自身基礎設施和應用程式未受影響

**用戶應採取行動**

如果專案在建置環境中使用了遭入侵的套件版本，應進行以下步驟：
- 在 lockfiles 和 node_modules 中搜尋 plain-crypto-js，識別遭入侵的安裝
- 重新部署專案以確保建置使用乾淨版本的 axios
- 輪換所有 API 金鑰、資料庫認證、token 及建置環境中的其他敏感值
- 審查相依性樹，找出 axios@1.14.1 或 axios@0.30.4 的參考並更新至 axios@1.14.0

此事件凸顯了開源軟體供應鏈的脆弱性，即使是廣泛信任的套件也可能成為攻擊目標，使用者需主動檢查並保護自身環境。

## 標籤

資安, 其他, Vercel, npm, axios