流行的 Axios HTTP 客户端库遭受重大供应链攻击,1.14.1 和 0.30.4 版本通过 npm 包含名为 plain-crypto-js 的恶意依赖项,用于窃取凭据并安装远程访问木马。攻击似乎源于泄露的 npm 令牌,凸显了开源包生态系统的脆弱性。这延续了最近 LiteLLM 攻击的模式,强调了采用可信发布实践的必要性。
背景
通过 npm 等包管理器针对流行开源包的供应链攻击日益普遍,对数百万开发者和应用程序构成重大安全风险。Axios 是 JavaScript 生态系统中使用最广泛的 HTTP 客户端之一,每周下载量超过 1 亿次。
- 来源
- Simon Willison
- 发布时间
- 2026年4月1日 07:28
- 评分
- 8.0 / 10