2026 年 3 月 31 日,一次备受瞩目的供应链攻击针对 JavaScript 生态系统的关键 HTTP 客户端 Axios。
通过劫持维护者的 NPM 帐户,攻击者注入了恶意依赖项 plain-crypto-js,该依赖项部署了跨平台远程访问木马 (RAT)。
跨平台 RAT(Linux、macOS、Windows)。
直播时间约 3 小时(00:21 – 03:29 UTC)。
该攻击通过将恶意逻辑隐藏在子依赖项中来绕过标准安全审核。
aws/credentials。
来源:Dev.to
