朝鲜黑客被指控劫持受欢迎的 Axios 开源项目传播恶意软件

Daily Signal

来源：TechCrunch 原文链接：https://techcrunch.com/2026/03/31/hacker-hijacks-axios-open-source-project-used-by-millions-to-push-malware 作者：Lorenzo Franceschi-Bicchierai 发布时间：2026-03-31T16:01:11

核心摘要

事件经过

一名疑似朝鲜黑客劫持并修改了流行的开源软件开发工具，以交付可能会使数百万开发人员面临被破坏风险的恶意软件。

星期一，一名黑客推推了被广泛使用的名为Axios的JavaScript库的恶意版本，开发者依靠这些版本允许他们的软件连接到互联网。受影响的图书馆在npm上托管，这是一个存储开源项目代码的软件存储库。Axios每周下载数千万人次。

核心细节

据安全公司StepSecurity分析，星期一至星期二大约三小时后发现劫机事件并停机。

黑客越来越以流行开源项目的开发者为目标，以努力大规模地搜捕任何依赖失密代码的人，有可能让黑客进入大量受影响的设备。这些类型的广泛破坏行为被称为供应链攻击，因为它们针对的是允许黑客然后黑客入侵下载失密软件的软件。近年来，黑客以3CX，卡塞亚，SolarWinds等公司为目标，也以Log4j和Polyfill。io等开源工具为目标，以大量用户为目标。

更多背景

目前还不清楚有多少人下载了Axios的恶意版本。也调查此事的保安公司Aikido表示

来源

• TechCrunch