SlowMist|2026年03月31日 04:39
又一起重大供应链事件
axios——最广泛使用的 npm 包之一——已被攻破。恶意版本 axios@1.14.1 和 axios@0.30.4 已被发布,正在主动传播恶意软件。
此次攻击引入了一个新创建的依赖 plain-crypto-js@4.2.1,已确认是一个恶意加载器:它执行混淆的有效载荷、运行 shell 命令,并试图在清除痕迹的同时规避检测。
每周下载量超过 1 亿次,这是一起正在进行的大规模供应链攻击。
更多详情:https://www.(stepsecurity.io)/blog/axios-compromised-on-npm-malicious-versions-drop-remote-access-trojan
分享至:
脉络
热门快讯
APP下载
X
Telegram
复制链接