Axios投毒事件
2026年3月31日,注定是全球开发者社群无法平静的一天。两大事件在同一天爆发,如同两枚深水炸弹,搅动了整个软件开发生态的底层信任基石。
今天,每一个打开电脑的开发者,都可能被一个消息炸得头皮发麻:我们每天都在用的、周下载量超过3亿次的HTTP库axios,被投毒了! 更令人震惊的是,AI领域的明星公司Anthropic,其核心产品Claude Code的完整源代码,也因一个低级失误被“主动开源”到了全世界。
这不是演习,这是2026年最真实的软件供应链噩梦。本文将为你抽丝剥茧,还原这两起事件的真相,并告诉你,这和你我手中的代码、服务器里的密钥,究竟有什么关系。
事件一:axios投毒 —— 隐藏在300亿次下载背后的“特洛伊木马”
- 发生了什么?
axios,对于JavaScript开发者来说,就像水电煤一样基础。几乎每个Node.js项目或前端应用都在用它发送HTTP请求。3月31日凌晨,axios的核心维护者Jason Saayman的npm账户被黑客劫持。
黑客利用这个账户,绕过了官方安全的自动化发布流程,手动发布了两个恶意版本:axios@1.14.1 和 axios@0.30.4。
- 黑客是如何做到“杀人于无形”的?
这是一场精心策划的“特洛伊木马”行动,其手法之高明,让安全专家都倒吸一口凉气:
“借刀杀人”:黑客并没有修改axios本身的任何一行代码,而是在其依赖列表(package.json)里,偷偷加入了一个名为 plain-crypto-js 的包。
“养蛊为患”:在正式攻击前18小时,黑客先发布了一个完全无害的 plain-crypto-js@4.2.0 版本,在npm上建立了“信誉”,躲过了初期的安全扫描。
“午夜激活”:凌晨时分,黑客迅速将 plain-crypto-js 更新到恶意版本 4.2.1,并紧接着发布了被投毒的axios版本。
“瞬间感染”:当开发者执行 npm install 时,恶意的 plain-crypto-js 会通过 postinstall 脚本自动运行。在安装进度条还没走完的1.1秒内,你的电脑就已经向黑客的服务器(C2服务器 sfrclak[.]com)发送了“求救信号”,并自动下载了一个功能完整的远程访问木马(RAT)。
- 后果有多严重?
后果1:你的电脑可能已被“开后门” 这个木马针对Windows、macOS、Linux全平台,会窃取你电脑里的所有敏感信息:.ssh 密钥、.aws 配置文件、.env 环境变量(内含各种API密钥)、浏览器存储的密码和加密货币钱包。
后果2:后果不可逆 安全专家警告,如果你在3月31日当天(尤其是北京时间上午)执行过 npm install 或 npm update,必须假设你的开发环境和所有凭据都已完全暴露。仅删除文件是不够的,最稳妥的方案是重装系统,并立即轮换所有密钥和密码。
