会话劫持

会话劫持（Session Hijacking）是一种攻击手法，攻击者通过窃取受害者的登录会话凭证（如Token、Session ID），从而绕过身份验证机制，以受害者的身份执行操作。

在Axios投毒事件中的应用

在2026年3月的[[axios]]投毒事件中，攻击者通过[[定向社交工程攻击]]诱导核心维护者[[jason-saayman]]安装远控木马（RAT）。RAT赋予攻击者对受害者电脑的底层控制权，使得攻击者能够：

1. 窃取浏览器中存储的GitHub登录Session
2. 窃取.npmrc文件中的长期鉴权Token
3. 在受害者电脑上静默执行npm publish命令

为什么2FA无法防御

当攻击者通过RAT完全控制受害者电脑后，2FA（特别是基于时间的一次性密码TOTP）变得形同虚设：

• 攻击者可以在受害者的机器上直接操作，NPM服务器看到的是合法IP和合法环境
• 2FA验证码可能在之前的合法操作中已被缓存
• 攻击者可以截取受害者手机上的验证码同步

防御措施

• 废除本地长期凭证：全面拥抱[[oidc]]（OpenID Connect），使用短期、基于密码学签名的认证
• 强制硬件密钥：使用[[fido2]]/YubiKey，需要物理触摸才能完成认证，防止远程木马静默执行
• 零信任心态：对任何主动接触保持高度警惕

相关概念

• [[定向社交工程攻击]] — 诱导受害者安装RAT的攻击手法
• [[开源供应链安全]] — 供应链攻击的整体防御框架
• [[oidc]] — 基于密码学签名的短时身份验证协议
• [[fido2]] — 基于硬件的物理安全密钥标准