npm 生态系统再次遭受重击。全球最流行的 HTTP 客户端库 Axios（周下载量超过 1.5 亿次）被曝遭受供应链攻击——多个被投毒的版本被发布到 npm 仓库，其中嵌入了远程访问木马（RAT）。
http://t.cn/AXIJnu8t
http://t.cn/AXIJnPHi

主流 JavaScript 库 axios 的 npm 维护者账号遭劫持。攻击者绕过正常的 GitHub Actions CI/CD 流程，手动发布了两个恶意版本 axios@1.14.1 和 axios@0.30.4。这些版本通过注入虚假依赖 plain-crypto-js 触发恶意脚本，针对 Windows、macOS 和 Linux 系统植入远程访问木马（RAT），并连接到特定的 C2 服务器进行远程控制，该恶意软件具备极强的隐蔽性，在执行后会自动删除恶意脚本并伪造 clean 版本的配置文件以规避安全审计。由于 axios 每周下载量超过 3 亿次，此次供应链攻击潜在影响巨大。