2026-04-02 03:53:25 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 2026年3月30-31日npm顶级库Axios遭朝鲜BlueNoroff组织供应链攻击，攻击者通过维护者账户在1.14.1和0.30.4版本注入多平台RAT。攻击链使用plain-crypto-js作dropper，针对Windows/macOS/Linux部署定制化远控，采用新型.NET注入技术和低检测率规避手段。建议立即核查依赖版本、回滚至安全版本、部署检测规则监控异常信标。 综合评分： 85 文章分类： 供应链安全,恶意软件,漏洞分析,威胁情报,应急响应

cover_image

Axios 供应链攻击事件深度分析：BlueNoroff 组织的跨平台 RAT 攻击手法揭秘

Ots安全

2026年4月1日 13:17 广东

威胁简报

恶意软件

漏洞攻击

一、事件背景

2026年3月30日至31日，npm 生态圈顶级依赖库 Axios（周下载量超 8300 万次）遭受供应链攻击。攻击者通过劫持维护者账户，在 [email protected] 和 [email protected] 两个版本中注入恶意代码。

经 VT 验证和逆向分析，此次攻击归因于朝鲜 Lazarus Group 旗下的 BlueNoroff 子组织，置信度为高。

二、攻击链分析

投递阶段：

恶意版本引入 [email protected] 作为 dropper，该库经过混淆处理，执行时根据目标平台环境解密并部署相应的 RAT（远控木马）。

多平台载荷：

三、关键技战术分析（TTP）

1.项目命名关联

macOS 木马内部项目名 macWebT 关联至 BlueNoroff 2023 年 RustBucket 家族的 webT 模块

2.新型注入技术

发现 .NET 进程注入 DLL Extension.SubRoutine.Run2()，零公开引用记录

3.C2 基础设施

主控域名关联攻击者 npm 账户 nrwise（域名 callnrwise.com）
IP 段与 Hostwinds AS54290 有重叠，9 个 Lazarus IP 共享同一 ASN

4.杀软规避

初始检测率极低（Linux 样本初始 0/76），为攻击者提供约 6 小时的隐形窗口期

四、检测与响应

已发布的检测规则：

8 条 YARA 规则（100% 检出率）
8 条 Sigma 规则（覆盖 Windows/macOS/Linux）
11 条 Suricata/Snort 规则（含 Base64 信标匹配）

IOC 摘要：

18 个 SHA256 哈希
2 个确认的 C2 域名
MITRE ATT&CK 映射完整

五、处置建议

立即核查 package.json 及 package-lock.json 中是否存在受影响版本
执行降级：回滚至 1.14.0 或升级至官方修复版本
审计日志：检查近期安装依赖的 CI/CD 流水线日志
网络侧检测：部署上述 Suricata 规则，监控出站异常信标

六、总结

这是近年来罕见的影响范围如此广泛的 npm 供应链攻击事件。攻击者不仅具备多平台 RAT 开发能力，还使用了创新的代码注入技术和成熟的隐匿策略。建议各开发团队立即响应，并将此攻击手法纳入供应链安全审计清单。

—— >推荐阅读：

Axios npm 供应链妥协——完整分析包

https://gist.github.com/N3mes1s/0c0fc7a0c23cdb5e1c8f66b208053ed6

END

公众号内容都来自国外平台-所有文章可通过点击阅读原文到达原文地址或参考地址

排版编辑 | Ots 小安

采集翻译 | Ots Ai牛马

公众号 | AnQuan7 (Ots安全)

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Ots安全《Axios 供应链攻击事件深度分析：BlueNoroff 组织的跨平台 RAT 攻击手法揭秘》