熱門 HTTP 客戶端 Axios 遭供應鏈攻擊，惡意套件植入後門

熱門 HTTP 客戶端 Axios 遭供應鏈攻擊，惡意套件植入後門。

知名 HTTP 客戶端「Axios」近期遭受供應鏈攻擊，攻擊者透過發布惡意版本（[email protected] 與 [email protected]）植入惡意依賴套件「[email protected]」，導致使用者面臨遠端存取木馬（RAT）威脅。此事件凸顯了開源生態系統中，即便如 Axios 這類擁有億級下載量的熱門套件，也難以倖免於惡意攻擊。

攻擊手法與惡意行為
此次攻擊採用了典型的供應鏈植入策略，透過 npm 發布未經官方 GitHub 標記的惡意版本。惡意套件「plain-crypto-js」會在安裝過程中執行 postinstall 腳本，透過多層混淆技術（反轉 Base64 與 XOR 加密）隱藏惡意程式碼，並自動偵測作業系統以部署對應的後門：

• macOS：利用 AppleScript 下載並執行偽裝成系統守護程序的二進位檔案，建立具備完整功能的 C++ 遠端存取木馬（RAT）。
• Windows：將 PowerShell 偽裝成 Windows Terminal 執行，並透過 VBScript 腳本隱藏執行惡意 PowerShell 指令。
• Linux：直接下載並執行 Python 腳本。
• 後續清理：惡意程式執行後會刪除自身並還原為乾淨版本，試圖規避偵測。

Axios 專案管理漏洞
此次攻擊揭露了 Axios 在發布流程上的嚴重安全缺口。受影響版本並未出現在官方 GitHub 標籤中，顯示攻擊者繞過了標準發布流程。Axios 維護者坦言，由於攻擊者權限過高，且專案持續使用長期有效的 npm token，導致無法及時撤銷存取權。目前維護團隊正致力於撤銷舊有 token、強化發布控管，並重建安全的發布管道。

供應鏈安全防護建議
Socket 安全團隊指出，這類攻擊常透過依賴關係（transitive dependencies）進行連鎖感染，即便開發者未直接安裝惡意套件，也可能因安裝其他套件而受害。針對此類威脅，開發者應採取以下防護措施：

• 檢查依賴：立即檢查專案中的 package.json 與鎖定檔（lockfiles），確認是否包含 [email protected]、[email protected] 或 [email protected]。
• 使用防護工具：考慮使用如「Socket Firewall」等工具，在安裝套件前攔截並掃描惡意依賴，保護開發環境免受供應鏈攻擊。
• 關注異常：對於非官方發布管道或異常的依賴更新保持高度警覺，特別是當套件版本號出現不尋常的跳躍或發布時間點異常時。