搜索

网络安全与渗透

麻了,又又又一个知名模块 axios 被投毒

作者 大神K
2026年4月18日 1 分钟阅读
0

麻了,又又又一个知名模块 axios 被投毒,带毒版本 [email protected][email protected]。排查参考:
https://stepsecurity.io/blog/axios-compromised-on-npm-malicious-versions-drop-remote-access-trojan

⚠️⚠️⚠️紧急安全提醒:月下载量超过 3 亿次的 #Axios 开源库遭到黑客攻击,黑客通过 NPM 仓库发布两个带毒版本用来投放远程访问木马。
如果你在 3 月 31 日前后执行过安装或更新,请立即降级并轮换所有密钥,如果可以最好直接重建环境。

核弹级警报 🚨

npm 顶级包 axios 刚刚被供应链攻击!

最新 [email protected] 偷偷塞进了今天刚发布的恶意包 [email protected]
这货是 obfuscated dropper + 后门执行器install 那一刻就直接跑 shell 命令,植入文件后还自毁痕迹!

axios 周下载 1 亿+,几乎全网 Node 项目都在用!

✅ 立刻行动:

• 马上把 axios 锁定到安全版本(别升级!)
• 审计所有 lockfile 和 package-lock.json
• 用 Socket / npm audit 扫描依赖

开发者们,快转!你的生产环境可能已经沦陷了!!!

Pasted image 20260331151311.png

📌 版权声明

文章作者:大神K

原文链接:https://dashenk.com/2026/04/18/%e9%ba%bb%e4%ba%86%ef%bc%8c%e5%8f%88%e5%8f%88%e5%8f%88%e4%b8%80%e4%b8%aa%e7%9f%a5%e5%90%8d%e6%a8%a1%e5%9d%97-axios-%e8%a2%ab%e6%8a%95%e6%af%92/

版权说明:本文为原创内容,转载请注明出处。

标签:

作者

大神K

我是一个长期在技术与赚钱之间反复横跳的人。 做过网站、搞过SEO、写过程序,也踩过币圈的坑。 现在在做的事情很简单: 用 AI + 技术,把复杂的事情变简单,把一个人变成一支队伍。 这个网站,不是教程站,而是我的「操作记录」。 一个站长如何做 SEO 和流量 一个开发者如何用 AI 提高效率 一个交易者如何系统性构建赚钱模型 只讲能落地的方案,分享: 真实经验 + 踩过的坑 在这个时代,一个人,也可以是一家公司。

关注我
其他文章
暂无评论!成为第一个。

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注