Slow Fog 警告:恶意的 axios 版本会拉入明文的 plain-crypto-js 恶意软件,将加密开发者暴露在跨平台 RAT 以及通过 npm 被窃取的凭证风险之下。摘要* Slow Fog 在维护者账号遭到入侵后,将 [email protected] 和 [email protected] 标记为恶意。* 注入的 [email protected] 包会通过 postinstall 脚本投放跨平台远程访问木马(RAT)。* 目前使用 [email protected] 的开发者被敦促轮换凭证并检查主机;同时,npm 将 axios 回滚至 1.14.0。区块链安全公司 Slow Fog 在新近发布的 [email protected] 和 [email protected] 版本被纳入恶意依赖 [email protected] 之后,发布了紧急安全提醒。该恶意依赖把 JavaScript 最广泛使用的 HTTP 客户端之一改造成一把对加密开发者的供应链武器。Axios 在 npm 上每周下载量超过 8000 万,这意味着即便是短暂的失陷也可能蔓延到构建在 Node.js 上的钱包后端、交易机器人、交易所以及 DeFi 基础设施。在其通告中,Slow Fog 警告称:“通过 npm install -g 安装了 [email protected] 的用户可能会面临暴露风险”,并建议立即轮换凭证,同时对主机侧进行全面排查,以查找是否存在被攻陷迹象。此次攻击的关键在于一个伪造的加密软件包 [email protected]——它会被静默添加为新的依赖,并且仅用于执行一个经过混淆的 postinstall 脚本,从而投放面向 Windows、macOS 和 Linux 系统的跨平台远程访问木马。安全公司 StepSecurity 表示:“恶意版本本身并不包含任何位于 Axios 内部的恶意代码行”,并补充说,取而代之的是:“二者都会注入一个伪造依赖 [email protected],其唯一目的就是运行 postinstall 脚本,用于部署跨平台远程访问木马(RAT)。”Socket 的研究团队指出,这个恶意的 plain-crypto-js 包是在受损 axios 发布前仅几分钟才被发布的,并将其称为“针对 JavaScript 生态系统的协同供应链攻击”。# Axios 维护者账号被劫持据 StepSecurity 称,这些恶意的 axios 版本是使用窃取到的 npm 凭证推送的,凭证属于主要维护者 “jasonsaayman”,从而使攻击者能够绕过该项目通常基于 GitHub 的发布流程。安全工程师 Julian Harris 在 LinkedIn 上写道:“这是 [email protected] 里的实时供应链失陷——它新增依赖了 [email protected]:一个在数小时之前发布的包,被识别为混淆恶意软件,会执行 shell 命令并抹除痕迹。”npm 现已移除这些恶意版本,并将 axios 的解析回滚至 1.14.0,但任何在攻击窗口期间拉取了 1.14.1 或 0.3.4 的环境,仍将面临风险,直到轮换密钥并重建系统。此次失陷与此前直接针对加密用户的 npm 事件相呼应,包括一场 2025 年的活动:18 个流行软件包(如 chalk 和 debug)会静默替换钱包地址以窃取资金,促使 Ledger 的 CTO Charles Guillemet 警告称:“受影响的软件包已经被下载超过 10 亿次。”研究人员还记录了 npm 恶意软件从以太坊、XRP 和 Solana 钱包中窃取密钥;而 SlowMist 估计,2025 年上半年仅加密黑客与欺诈——包括后门软件包与借助 AI 的供应链攻击——就造成了超过 23 亿美元的损失。就目前而言,Slow Fog 的建议非常直截了当:将 axios 降级至 1.14.0,对依赖项进行审计以查找任何 [email protected] 或 openclaw 的痕迹,并假设那些与上述环境有过接触的任何凭证都已被攻陷。# 先前的软件供应链警告在一篇关于 JavaScript 供应链攻击的先前 crypto.news 报道中,Ledger 的 Guillemet 警告称:那些每周下载量超过 20 亿次的受损 npm 软件包对基于 Node.js 构建的 dApps 和钱包构成系统性风险。另一篇报道则详细说明了朝鲜的 Lazarus Group 如何植入恶意 npm 软件包,用于后门开发者环境,并瞄准 Solana 和 Exodus 钱包用户。第三篇 crypto.news 报道展示了下一代恶意软件:它说明了通过 npm 实施的后门供应链攻击以及低成本 AI 工具,如何帮助犯罪分子远程控制超过 4,200 台开发者机器,并促成了数十亿美元的加密损失。
Slow Fog 警告开发者关于恶意 axios 恶意软件活动
Slow Fog 警告:恶意的 axios 版本会拉入明文的 plain-crypto-js 恶意软件,将加密开发者暴露在跨平台 RAT 以及通过 npm 被窃取的凭证风险之下。
摘要
区块链安全公司 Slow Fog 在新近发布的 [email protected] 和 [email protected] 版本被纳入恶意依赖 [email protected] 之后,发布了紧急安全提醒。该恶意依赖把 JavaScript 最广泛使用的 HTTP 客户端之一改造成一把对加密开发者的供应链武器。Axios 在 npm 上每周下载量超过 8000 万,这意味着即便是短暂的失陷也可能蔓延到构建在 Node.js 上的钱包后端、交易机器人、交易所以及 DeFi 基础设施。在其通告中,Slow Fog 警告称:“通过 npm install -g 安装了 [email protected] 的用户可能会面临暴露风险”,并建议立即轮换凭证,同时对主机侧进行全面排查,以查找是否存在被攻陷迹象。
此次攻击的关键在于一个伪造的加密软件包 [email protected]——它会被静默添加为新的依赖,并且仅用于执行一个经过混淆的 postinstall 脚本,从而投放面向 Windows、macOS 和 Linux 系统的跨平台远程访问木马。
安全公司 StepSecurity 表示:“恶意版本本身并不包含任何位于 Axios 内部的恶意代码行”,并补充说,取而代之的是:“二者都会注入一个伪造依赖 [email protected],其唯一目的就是运行 postinstall 脚本,用于部署跨平台远程访问木马(RAT)。”Socket 的研究团队指出,这个恶意的 plain-crypto-js 包是在受损 axios 发布前仅几分钟才被发布的,并将其称为“针对 JavaScript 生态系统的协同供应链攻击”。
Axios 维护者账号被劫持
据 StepSecurity 称,这些恶意的 axios 版本是使用窃取到的 npm 凭证推送的,凭证属于主要维护者 “jasonsaayman”,从而使攻击者能够绕过该项目通常基于 GitHub 的发布流程。安全工程师 Julian Harris 在 LinkedIn 上写道:“这是 [email protected] 里的实时供应链失陷——它新增依赖了 [email protected]:一个在数小时之前发布的包,被识别为混淆恶意软件,会执行 shell 命令并抹除痕迹。”npm 现已移除这些恶意版本,并将 axios 的解析回滚至 1.14.0,但任何在攻击窗口期间拉取了 1.14.1 或 0.3.4 的环境,仍将面临风险,直到轮换密钥并重建系统。
此次失陷与此前直接针对加密用户的 npm 事件相呼应,包括一场 2025 年的活动:18 个流行软件包(如 chalk 和 debug)会静默替换钱包地址以窃取资金,促使 Ledger 的 CTO Charles Guillemet 警告称:“受影响的软件包已经被下载超过 10 亿次。”研究人员还记录了 npm 恶意软件从以太坊、XRP 和 Solana 钱包中窃取密钥;而 SlowMist 估计,2025 年上半年仅加密黑客与欺诈——包括后门软件包与借助 AI 的供应链攻击——就造成了超过 23 亿美元的损失。就目前而言,Slow Fog 的建议非常直截了当:将 axios 降级至 1.14.0,对依赖项进行审计以查找任何 [email protected] 或 openclaw 的痕迹,并假设那些与上述环境有过接触的任何凭证都已被攻陷。
先前的软件供应链警告
在一篇关于 JavaScript 供应链攻击的先前 crypto.news 报道中,Ledger 的 Guillemet 警告称:那些每周下载量超过 20 亿次的受损 npm 软件包对基于 Node.js 构建的 dApps 和钱包构成系统性风险。另一篇报道则详细说明了朝鲜的 Lazarus Group 如何植入恶意 npm 软件包,用于后门开发者环境,并瞄准 Solana 和 Exodus 钱包用户。第三篇 crypto.news 报道展示了下一代恶意软件:它说明了通过 npm 实施的后门供应链攻击以及低成本 AI 工具,如何帮助犯罪分子远程控制超过 4,200 台开发者机器,并促成了数十亿美元的加密损失。