TLDR:2026 年 3 月 31 日,UTC 时间 00:21 至 03:29 之间,Axios 的两个恶意版本(1。
4)通过受损的维护者帐户发布到 npm。
他们在该窗口期间运行 npm install 的任何计算机上悄悄安装了跨平台远程访问木马 (RAT)。
该恶意软件针对 macOS、Windows 和 Linux,联系实时命令和控制服务器,在执行后自行删除自己的痕迹,并建立持久性。
Axios 每周下载量为 8300 万次。
它作为依赖项存在于世界各地数百万个 package。
来源:Dev.to
