Axios 是最受歡迎的 JavaScript 庫之一,它可能已被攻破,並捲入了針對加密貨幣錢包的攻擊。針對 npm 套件的攻擊日益頻繁,直接影響專案、開發者和最終用戶。
Axios 的一個 npm 套件被發佈到官方 JavaScript 庫中,幾個小時後又被移除。鏈上安全專家攔截了這起攻擊,該攻擊持續了大約三個小時。
@npmjs @GHSecurityLab正在遭受針對 [email protected] 的持續供應鏈攻擊,其中包括今天發布的惡意軟體包 [email protected]。有人已經接管了 Axios 的維護帳戶。
— Maxwell (@mvxvvll) 2026年3月31日
研究人員仍在尋找帳戶被盜用的證據,但npm軟體包利用@jasonsaayman的憑證遭到入侵。受影響的軟體包已被確認為[email protected]和[email protected]。
正如Cryptopolitan 之前報導的那樣,npm 攻擊通常針對加密貨幣錢包,對於團隊持有大量加密貨幣的去中心化項目來說,風險尤其高。
Axios npm 攻擊事件中發生了什麼事?
StepSecurity是最早發現此問題的公司之一。有人利用Axios一位關鍵維護者的被盜憑證發布了兩個惡意版本的Axios HTTP客戶端程式庫,繞過了正常的GitHub發布流程。
據 StepSecurity 稱,這是迄今為止針對排名前十且廣泛使用的 npm 套件發起的最複雜的攻擊。惡意版本的套件會注入一個新的依賴項 [email protected],該依賴項並未匯入到 axios 原始碼中。此依賴項會執行一個在所有作業系統上執行的安裝後腳本。
使用 npm 後,用戶端會感染遠端存取木馬投放器,該木馬投放器擁有一個活躍的伺服器並會分發惡意負載。該惡意軟體會自行刪除可疑的 .json 文件,並用乾淨的版本替換它,以逃避檢測。
哪些類型的項目受到了影響?
npm 包一直是最受歡迎的包之一,每週下載量高達 1 億次。然而,目前尚無關於非法加密貨幣轉移的報告。過去,npm 曾遭受攻擊,但造成的加密貨幣損失僅為 1000 美元,而且涉及的代幣也鮮為人知。
限制惡意 npm 檔案的唯一方法是追蹤版本並禁止自動更新,或檢查新版本是否有潛在的惡意上傳。
一場新的供應鏈攻擊已經發起,這次的目標是 npm axios,這是最受歡迎的 HTTP 用戶端庫,每週下載量達 3 億次。
掃描系統時,我發現幾天前我在嘗試使用 Gmail/Gcal CLI 時,從 googleworkspace/cli 匯入了一個使用記錄。已安裝的版本(幸運的是)… https://t.co/9DOVWH5KK1
— 安德烈·卡帕蒂 (@karpathy) 2026 年 3 月 31 日
研究人員還發現了另外兩個以相同方式傳播惡意程式碼的軟體包:@shadanai/openclaw 和 @qqbrowser/openclaw-qbot。這次攻擊發生在 LiteLLM 惡意程式碼注入事件一週後。
此次攻擊未造成 Web3 或 OpenClaw 專案受到影響,也未發生加密貨幣被盜事件。然而,已有警告指出,透過竊取的憑證或未經授權的發布者發起的 npm 攻擊可能會變得司空見慣。此前,已有關於惡意程式碼利用OpenClaw 技能平台的警告。
軟體包問題不僅限於 Web3 專案或機器人,還可能影響與加密貨幣錢包相關的任何有效載荷。對 Python 的 npm 和 pip 安裝方式信任度的下降,也可能削弱人們對整個函式庫生態系統的信任,導致人們呼籲建立更安全的上傳路徑。
使用基於人工智慧的代理也可能導致軟體包被隨意下載,從而擴散威脅。對加密貨幣錢包的影響可能不會立即顯現,但仍有可能洩露其中包含的資料。
不要只是閱讀加密貨幣新聞,要理解它。訂閱我們的新聞簡報, 完全免費。