你明白互聯網上最常用的 npm 包之一發生了什麼嗎？ → axios 每週下載量超過 1 億次，今天它被攻破了。 → 攻擊者劫持了 axios 主要維護者的 npm 賬號密碼……將賬號郵箱更改為匿名 ProtonMail 地址……並手動發佈了兩個惡意版本。 → axios@1.14.1 和 axios@0.30.4……這兩個版本本身都沒有包含任何惡意代碼。攻擊者注入了一個名為 plain-crypto-js 的虛假依賴項，該依賴項會在你的機器上植入遠程訪問木馬。 → 這個虛假依賴項提前 18 小時準備就緒……攻擊者預先構建了適用於 macOS、Windows 和 Linux 的三個獨立有效載荷……兩個發佈分支都在 39 分鐘內遭到攻擊。所有痕跡都設計為在執行後自動銷燬。 → axios GitHub 倉庫中沒有 1.14.1 版本的標籤。它完全繞過了正常的發佈流程……徹底繞過了 CI/CD → StepSecurity 稱其為有史以來針對排名前十的 npm 包發起的最具操作複雜性的供應鏈攻擊之一 → 一次例行的 npm install 操作悄無聲息地打開了一個後門……沒有任何警告……axios 本身也沒有任何可疑代碼 這是所有 Vibe Code 兄弟們現在需要聽到的警鐘： → 如果你安裝了這兩個版本中的任何一個……假設你的系統已被入侵 → 鎖定到 axios@1.14.0 或 axios@0.30.3 → 在受影響的機器上輪換所有密鑰、API 密鑰、SSH 密鑰和憑據 → 檢查網絡日誌中是否存在 C2 連接 → 今後在 CI npm install 中添加 --ignore-scripts 參數 每週 1 億次下載，一個維護者賬戶被盜…… 這就是造成徹底破壞的全部所需 而且我估計我們會看到更多這樣的事件……網絡安全和 Vibe Code 的未來充滿挑戰 大家注意安全