安全通告
关于 axios 0.30.4 和 1.14.1 供应链投毒事件的预警通报
发布日期:2026–04–01
[2026]005号
漏洞描述
2026年3月31日,互联网上披露 axios 项目遭受供应链攻击。在 axios 的 0.30.4 和 1.14.1 版本中存在恶意依赖 plain-crypto-js。安装受影响版本的包后会下载攻击者指定的远控木马并执行。官方已下线相关影响包,建议客户尽快排查。
漏洞编号
无
漏洞危害
当执行npm install axios@1.14.1/0.30.4后,自动安装依赖 plain-crypto-js@4.2.1,触发 postinstall: “node setup.js”,执行混淆的JavaScript投放器,连接C2服务器下载平台特定第二阶段payload,执行RAT,自毁:删除恶意文件 + 替换package.json为干净版本系统被植入远程访问木马(RAT),攻击者可完全控制受感染机器,窃取敏感代码、密钥、凭证,进而导致下游项目被进一步污染。
漏洞等级
超危
受影响版本
axios 0.30.4
axios 1.14.1
修复方案
- 检查是否安装恶意版本npm list axios
- 查看具体版本npm list axios –depth=0
- 检查lock文件grep -A 5 ‘”axios”‘ package-lock.json | grep version
- 检查plain-crypto-js依赖npm list plain-crypto-js
- 立即断开网络连接,隔离受感染机器
- 检查以下位置的异常:
~/.npm/_cacache — npm缓存
node_modules/plain-crypto-js — 恶意依赖
系统启动项和计划任务
网络连接日志中的可疑C2通信
- 全盘杀毒扫描
- 轮换所有凭证(SSH密钥、API密钥、密码等)
- 从干净备份恢复或重装系统
参考链接
https://avd.aliyun.com/detail?id=AVD-2026-1864419
https://www.stepsecurity.io/blog/axios-compromised-on-npm-malicious-versions-drop-remote-access-trojan
https://github.com/axios/axios/issues/10604
https://mp.weixin.qq.com/s/he74vXgPyjmlFtzuXF1Z-w
https://mp.weixin.qq.com/s/Tjinz_UFJWUnJPePqaVn9A