广泛使用的 Axios HTTP 客户端库（一款开发者常用的 JavaScript 组件）最近遭到黑客攻击，攻击者通过一个被攻陷的账户来分发恶意软件。

攻击者利用了 npm（Node.js 的默认包管理器，一款允许开发者共享、安装和管理 JavaScript 项目代码的工具）上的一个被劫持的账户来分发恶意软件。

根据 Step Security Inc. 的安全研究人员称，此次攻击影响了两个软件包，并安装了一个远程访问木马（RAT），它允许第三方控制计算机。该软件能够控制 Windows、macOS 和 Linux 操作系统。

“这不是一次随机攻击，而是一次精准打击，”Step Security 的联合创始人兼首席技术官 Ashish Kurmi 表示。“恶意依赖包提前 18 小时就已部署。针对三个操作系统准备了三种有效载荷。两个发布分支在 39 分钟内相继被投毒。每一个恶意产物都被设计成能够自我销毁。”

Axios 是一个极其流行的库，每周下载量接近 3 亿次。开发者依靠它在应用程序和 Web 服务之间交换请求。从前端应用到后端系统，无处不在。

据研究人员称，攻击者于 3 月 30 日发起攻击，他们攻陷了 Axios 的主要维护者“jasonsaayman”的账户，这使他们能够绕过 GitHub 上的主要安全检查。随后，攻击者将该库关联的电子邮件替换为一个由他们控制的匿名 Proton Mail 地址。

“Axios 本身内部没有任何恶意代码行，这正是这次攻击如此危险的原因，”Kurmi 补充道。

Axios 本身并非恶意有效载荷，而是变成了一个会自我删除的安装程序。在 macOS 上，它将自己伪装成一个系统守护进程；在 Windows 上，伪装成 PowerShell 的一部分；而在 Linux 上，则使用一个 Python 脚本后门。

尽管这次入侵很快被发现，但速度还不够快，未能阻止开发者下载被感染的库。安全专家敦促开发者迅速采取行动，检查并更新他们当前的版本——如果已被入侵，则需进行安全处理。

“我们已经看到了活跃的利用行为，”Huntress Labs Inc. 的高级首席安全研究员 John Hammond 告诉 SiliconANGLE。“任何安装了 axios@1.14.1 或 axios@0.30.4 的环境都应被视为已被攻陷。组织必须立即审计其依赖项，降级到已验证的安全版本，轮换在安装过程中可访问的所有凭据，并针对每个操作系统扫描特定的恶意软件产物。”

Axios 的被攻陷代表了网络安全研究人员所说的“供应链攻击”。这些极具隐蔽性的攻击发生在敌对方不直接攻击防御严密的目标，而是瞄准安全性较差的第三方供应商、提供商或软件依赖项时，例如本案中攻击者将恶意代码注入受信任的软件或更新中。

Cybersecurity Ventures 的一份报告估计，2025 年供应链攻击给企业造成的损失接近 600 亿美元，并预测到 2031 年这个数字可能会上升到约 1380 亿美元。