Axios 庫遭供應鏈攻擊，駭客利用竊取的 npm 令牌植入遠程木馬，波及約 80% 雲環境

ChainCatcher 消息，攻擊者竊取了 JavaScript 最流行 HTTP 客戶端庫 Axios 首席維護者的 npm 存取令牌，並利用該令牌發布了兩個包含跨平台遠端存取木馬（RAT）的惡意版本（axios@1.14.1 和 axios@0.3.4），目標覆蓋 macOS、Windows 及 Linux 系統。惡意包在 npm 註冊表上存活約 3 小時後被移除。

據安全公司 Wiz 數據，Axios 每週下載量超 1 億次，存在於約 80% 的雲和程式碼環境中。安全公司 Huntress 在惡意包上線 89 秒後即檢測到首批感染，並在暴露窗口期內確認至少 135 個系統遭到入侵。值得注意的是，Axios 專案此前已部署了 OIDC 可信發布機制和 SLSA 溯源證明等現代安全措施，但攻擊者完全繞過了這些防線。調查發現，專案在配置 OIDC 的同時仍保留了傳統長期有效的 NPM_TOKEN，而 npm 在兩者共存時預設優先使用傳統令牌，使得攻擊者無需突破 OIDC 即可完成發布。