更新於 UTC 時間 2026 年 3 月 31 日下午 1:28:本文已更新,以補充 Hacken 資深攻擊安全工程師 Abdelfattah Ibrahim 的評論。
兩個惡意 Axios npm 版本發布後,開發人員收到警告,要求輪換憑證,並將受影響的系統視為已遭入侵,因為這是一個供應鏈攻擊,污染了廣受歡迎的 JavaScript HTTP 客戶端函式庫。
這次入侵事件首先由網路安全公司 Socket 報導,該公司表示,axios@1.14.1 和 axios@0.30.4 被修改以引入 plain-crypto-js@4.2.1,這是一個惡意依賴項,在這些版本從 npm 中移除之前,它會在安裝過程中自動執行。
根據安全公司 OX Security 的說法,被竄改的程式碼可以讓攻擊者遠端存取受感染的設備,使其能夠竊取登入憑證、API 金鑰和加密錢包資訊等敏感數據。
這起事件顯示,單一受損的開源組件如何可能影響數千個依賴它的應用程式,不僅使開發人員,也使與系統相關的平台和用戶面臨風險。
OX Security 警告那些安裝了 axios@1.14.1 或 axios@0.30.4 的開發人員,應將其系統視為已完全被入侵,並立即輪換憑證,包括 API 金鑰和會話令牌。
Socket 表示,受損的 Axios 版本被修改,包含了對 plain-crypto-js@4.2.1 的依賴,這是一個在事件發生前不久發布,後來被確認為惡意的套件。
相關報導: Trust Wallet 瀏覽器擴充功能因 Chrome 線上應用程式商店「錯誤」而下線,執行長表示
該公司表示,這個依賴項被配置為透過安裝後腳本在安裝過程中自動執行,這允許攻擊者在無需額外用戶互動的情況下,在目標系統上執行程式碼。
Socket 建議開發人員檢查其專案和依賴項文件,尋找受影響的 Axios 版本和相關的 plain-crypto-js@4.2.1 套件,並立即移除或回溯任何受損版本。
Hacken 的資深攻擊安全工程師 Abdelfattah Ibrahim 告訴 Cointelegraph,這次入侵可能對依賴 Axios 進行後端操作的加密貨幣相關應用程式造成嚴重影響。
他表示:「這對於處理加密貨幣的去中心化應用程式(dApps)和應用程式來說是個壞消息,因為 Axios 在 API 調用中扮演著重要角色。」他指出,受影響的系統可能包括交易所整合、錢包餘額檢查和交易廣播。
Ibrahim 表示,這次攻擊中部署的惡意軟體是一種完整的遠端存取木馬(RAT),允許攻擊者直接與受損系統互動。他補充說,這起事件凸顯了供應鏈風險處理方式中更廣泛的弱點。
早期的加密事件表明,供應鏈漏洞如何從開發者資訊被盜,升級到用戶面臨的錢包損失。
1 月 3 日,鏈上調查員 ZachXBT 報導稱,以太坊虛擬機(EVM)相容網路上的「數百個」錢包在一場廣泛攻擊中被盜,每個受害者都被吸走少量資金。
網路安全研究員 Vladimir S. 表示,這起事件可能與去年 12 月影響 Trust Wallet 的漏洞有關,該漏洞導致超過 2,500 個錢包損失了約 700 萬美元。
Trust Wallet 後來表示,該漏洞可能源於其開發工作流程中使用的 npm 套件涉及的供應鏈入侵。
雜誌報導: 沒有人知道量子安全密碼學是否會奏效