朝鲜黑客被指控劫持受欢迎的 Axios 开源项目传播恶意软件

Daily Signal

来源：TechCrunch 原文链接：https://techcrunch.com/2026/03/31/hacker-hijacks-axios-open-source-project-used-by-millions-to-push-malware 作者：Lorenzo Franceschi-Bicchierai

核心摘要

安全研究人员称，一名黑客将恶意代码植入热门 JavaScript 网络库 Axios 的 npm 包中，这个项目每周下载量达到数千万次，可能波及大量开发者和应用。

事件经过

一名疑似朝鲜黑客劫持并修改了流行的开源软件开发工具，以交付可能会使数百万开发人员面临被破坏风险的恶意软件。

周一，攻击者向 npm 上的 Axios 包推送了带恶意代码的新版本。Axios 是一个被广泛使用的 JavaScript 库，开发者通常用它来让应用访问互联网；根据 TechCrunch 的说法，这个项目每周下载量达到数千万次。

核心细节

安全公司 StepSecurity 表示，恶意版本在上线大约 3 小时后被发现并下架。另一家安全公司 Aikido 也在调查这起事件。

这类攻击属于典型的开源供应链攻击。攻击者不直接攻击终端受害者，而是先污染被广泛依赖的软件包，再借由受感染的软件进入大量下游系统。过去几年里，3CX、Kaseya、SolarWinds，以及 Log4j、Polyfill.io 等项目都曾成为类似攻击的目标。

更多背景

目前还不清楚究竟有多少开发者或应用下载了被植入恶意代码的 Axios 版本。TechCrunch 指出，这起事件再次说明，常用开源依赖一旦遭到劫持，影响范围往往会迅速扩大。

来源

• TechCrunch