黑客入侵流行JavaScript库Axios植入隐藏恶意软件

开发者广泛使用的Axios HTTP客户端库这一JavaScript组件最近遭到黑客攻击，通过被入侵的账户分发恶意软件。

攻击者利用npm上被劫持的账户进行攻击。npm是Node.js的默认包管理器，这是一个允许开发者共享、安装和管理JavaScript项目代码的工具，被用来分发恶意软件。

据Step Security Inc.的安全研究人员称，此次攻击影响了两个软件包，并安装了远程访问木马（RAT），允许第三方控制计算机。该软件可以控制Windows、macOS和Linux操作系统。

"这不是机会性攻击，而是精准攻击，" Step Security联合创始人兼首席技术官Ashish Kurmi表示。"恶意依赖项提前18小时就已部署。针对三个操作系统预先构建了三个载荷。两个发布分支在39分钟内相继被污染。每个攻击组件都设计为自毁。"

Axios是一个极其流行的库，每周下载量近3亿次。开发者依靠它在应用程序和网络服务之间交换请求。从前端应用到后端系统都在使用它，可谓无处不在。

据研究人员称，攻击者在3月30日开始攻击，首先入侵了Axios主要维护者"jasonsaayman"的账户，这使他们能够绕过GitHub上的主要安全检查。然后攻击者将库关联的邮箱替换为他们控制的匿名Proton Mail地址。

"Axios本身内部没有任何恶意代码行，这正是使这次攻击如此危险的原因，" Kurmi补充道。

Axios并非恶意载荷本身，而是成为了一个会自我删除的安装程序。在MacOS上它伪装成系统守护进程；在Windows上作为PowerShell的一部分；在Linux上则使用Python脚本后门。

尽管这次入侵被快速发现，但仍不足以阻止开发者下载受感染的库。安全专业人员敦促开发者迅速采取行动检查和更新当前版本，如果已被入侵则需要处理安全问题。

"我们已经看到了主动利用的情况，" Huntress Labs Inc.高级首席安全研究员John Hammond告诉SiliconANGLE。"任何安装了axios@1.14.1或axios@0.30.4的环境都应被视为已被入侵。组织必须立即审核其依赖项，降级至经过验证的安全版本，轮换安装期间可访问的所有凭据，并扫描每个操作系统特定的恶意软件痕迹。"

Axios的入侵代表了网络安全研究人员所称的"供应链攻击"。这些极其隐蔽的攻击发生在敌对方针对安全性较低的第三方供应商、供应商或软件依赖项，而不是试图攻击防护良好的目标时，比如本案例中攻击者将恶意代码注入可信软件或更新中。

Cybersecurity Ventures的一份报告估计，供应链攻击在2025年将使企业损失近600亿美元，并预测到2031年这一数字可能上升至约1380亿美元。

Q&A

Q1：Axios是什么？为什么被攻击影响这么大？

A：Axios是开发者广泛使用的JavaScript HTTP客户端库，每周下载量近3亿次。开发者依靠它在应用程序和网络服务之间交换请求，从前端应用到后端系统都在使用，因此影响范围极其广泛。

Q2：黑客是如何攻击Axios的？

A：攻击者首先入侵了Axios主要维护者"jasonsaayman"的账户，绕过GitHub安全检查，然后将库关联邮箱替换为他们控制的匿名邮箱。攻击者没有在Axios本身植入恶意代码，而是让它成为会自我删除的恶意软件安装程序。

Q3：如果安装了被感染的Axios版本该怎么办？

A：任何安装了axios@1.14.1或axios@0.30.4版本的环境都应被视为已被入侵。必须立即审核依赖项，降级至经过验证的安全版本，轮换安装期间可访问的所有凭据，并扫描每个操作系统特定的恶意软件痕迹。