严重供应链攻击,axios 两个版本被投毒。
核心信息
你需要做的
1. 立即检查
• 降级到安全版本:
• 系统已受陷 → 从干净状态重建,轮换所有凭证(npm token、AWS 密钥、SSH、云凭证)
• 检查 RAT 持久化文件(见上表路径)
3. CI/CD 加固
axios 周下载量 3 亿+,影响范围极大。检查完你的项目和CI/CD流水线。
核心信息
| 项目 | 内容 |
| ---------- | ----------------------------------------------------------------------------------------------- |
| 恶意版本 | axios@1.14.1 和 axios@0.30.4 |
| 攻击手法 | 劫持维护者 jasonsaayman 的 npm 账户,绕过 CI/CD 直接发布 |
| 恶意依赖 | plain-crypto-js@4.2.1(伪装成 crypto-js,实际 drop RAT) |
| C2 服务器 | sfrclak.com:8000 (IP: 142.11.206.73) |
| 平台 payload | macOS: /Library/Caches/com.apple.act.mond<br>Linux: /tmp/ld.py<br>Windows: %PROGRAMDATA%\wt.exe |
你需要做的
1. 立即检查
npm list axios 2>/dev/null | grep -E "1\.14\.1|0\.30\.4"
ls node_modules/plain-crypto-js 2>/dev/null && echo "⚠️ 中招"
• 降级到安全版本:
[email protected] 或 [email protected]• 系统已受陷 → 从干净状态重建,轮换所有凭证(npm token、AWS 密钥、SSH、云凭证)
• 检查 RAT 持久化文件(见上表路径)
3. CI/CD 加固
npm ci --ignore-scripts # 禁止 postinstall 脚本
iptables -A OUTPUT -d 142.11.206.73 -j DROP # 屏蔽 C2
axios 周下载量 3 亿+,影响范围极大。检查完你的项目和CI/CD流水线。
