2026 年 3 月 31 日,axios(非常流行的 JavaScript HTTP 客户端,每周下载量超过 1 亿次)的两个恶意版本通过受感染的维护者帐户短暂发布到 npm。
这些软件包包含一个隐藏的依赖项,该依赖项会在两小时内将跨平台远程访问木马 (RAT) 部署到任何运行 npm install(或其他软件包管理器(如 Bun)中的等效项)的计算机。
4)已于 UTC 时间 03:29 从 npm 中删除。
但在它们上线的窗口中,任何 CI/CD 管道、开发人员环境或构建系统进行全新安装的人都可能在不接触 Axios 代码行的情况下受到损害。
SNYK-JS-AXIOS-15850650。
跨平台 RAT(macOS、Windows、Linux)。
来源:Dev.to
