Axios
Axios是一个广泛使用的JavaScript HTTP客户端库,基于Promise API,支持浏览器和Node.js环境。它是NPM生态中最核心的基础设施之一,周下载量达数千万次。
安全事件
2026年3月31日,Axios遭受严重的供应链攻击。攻击者通过定向社交工程攻击盗取了核心维护者[[jason-saayman]]的账号,发布了注入远控木马(RAT)的恶意版本(1.14.1和0.30.4)。该事件暴露了开源生态中"人是最薄弱环节"的残酷现实。
影响
- 作为前端基础设施,恶意版本在3小时内被下架,但足以让跨平台木马潜入无数企业服务器
- 事件促使社区重新审视[[npm安全]]和[[开源供应链安全]]的最佳实践
- 推动了OIDC、硬件密钥等安全措施的普及
相关实体
- [[jason-saayman]] — Axios核心维护者,账号被攻击者盗用
- [[digitalbrainjs]] — Axios协作者,在攻击发生后迅速联系NPM下架恶意版本
- [[npm]] — 包管理器,恶意软件分发的平台