流行的 Axios HTTP 客户端遭遇供应链攻击,通过恶意 npm 依赖包([email protected])注入远程访问木马,可执行命令并窃取数据。攻击绕过了正常发布流程,维护者一度无法撤销攻击者权限。Axios 每周下载量超 1 亿次,此事影响重大。
背景
供应链攻击通过软件依赖注入恶意代码,利用受信任的包危害下游用户。Axios 是 JavaScript 生态中广泛使用的 HTTP 客户端,在 Web 开发中应用极广。
- 来源
- Lobsters
- 发布时间
- 2026年3月31日 15:28
- 评分
- 9.0 / 10