Axios 库遭供應鏈攻擊，黑客利用竊取的 npm 令牌植入遠程木馬，波及約 80%雲環境

深潮 TechFlow 消息，04 月 02 日，據 VentureBeat 報道，攻擊者竊取了 JavaScript 最流行 HTTP 用戶端程式庫 Axios 的首席維護者之 npm 存取權杖，並利用該權杖發布了兩個包含跨平台遠端存取木馬（RAT）的惡意版本（axios@1.14.1 和 axios@0.30.4），目標覆蓋 macOS、Windows 及 Linux 系統。惡意套件在 npm 註冊表上存活約 3 小時後被移除。

據資安公司 Wiz 資料，Axios 每週下載量超過 1 億次，存在於約 80% 的雲端與程式碼環境中。資安公司 Huntress 在惡意套件上線 89 秒後即偵測到首批感染，並在暴露窗口期內確認至少 135 個系統遭到入侵。

值得注意的是，Axios 專案此前已部署 OIDC 可信發布機制和 SLSA 溯源證明等現代安全措施，但攻擊者完全繞過了這些防線。調查發現，專案在設定 OIDC 的同時仍保留了傳統且長期有效的 NPM_TOKEN，而 npm 在兩者共存時預設優先使用傳統權杖，使得攻擊者無需突破 OIDC 即可完成發布。