文章总结： Axiosnpm供应链投毒事件的幕后黑手被确认为Lazarus组织。该组织通过劫持账号发布恶意版本，植入木马以入侵设备、窃取信息，影响覆盖Windows、macOS和Linux平台。报告详细分析了攻击手法、木马行为，并提供了各平台的清理与处置方案。 综合评分： 90 文章分类： 供应链安全,恶意软件,威胁情报,应急响应,网络安全

---

实锤！Lazarus是Axios供应链投毒幕后黑手

原创

微步情报局 微步情报局

微步在线

2026年4月1日 00:39 北京

针对昨日Axios npm遭遇供应链投毒事件（可查看微步文章OpenClaw又又又危！Axios npm被投毒，植入全平台木马），微步情报局通过深度样本分析与攻击溯源，结合对重点APT组织的长期威胁情报积累和追踪，将此次攻击活动归因至Lazarus组织，并在现有情报基础上拓线出更多关联基础设施与攻击线索（IOC参见附录）。

此次事件影响巨大。作为JavaScript生态最核心的依赖之一，Axios年下载量超过36亿，直接或间接依赖项目超17.4万个，已有不少用户在安装OpenClaw等相关软件时感染恶意代码，Windows、macOS、Linux均受影响，建议用户立即排查sfrclak.com反连。

在处置方面，微步终端安全管理平台OneSEC具备彻底的清理能力，可快速下发处置任务。此外，微步还整理了多平台通用处置方案，详见后文。

样本分析

在此次攻击中，Lazarus劫持Axios维护者账号发布恶意版本，隐性植入恶意依赖[email protected]。该包通过postinstall钩子自动执行脚本下载远控木马，实现设备入侵与信息窃取。攻击流程图如下：

Axios npm仓库投毒的[email protected]，涉及 Axios 1.14.1 和 0.30.4 两个版本，

通过package.json 引入了postinstall触发执行恶意的setup.js文件。

运行的setup.js是一个混淆的js代码。

该js文件的作用是检测运行的主机的平台，将packages.npm.org相关URL作为参数下载适配主机系统的载荷文件，携带攻击者C2_url参数执行下载后续木马。C2_url：http://sfrclak.com:8000/6202033。

不同操作系统版本的后续木马的文件hash请见附录中“已公开的IOC”部分。

以使用macOS版本的后续木马/Library/Caches/com.apple.act.mond为例进行分析。该木马使用C++开发，存在适配arm架构和x86_64两个版本。

木马携带C2_url运行后，先获取主机名、用户名、操作系统类型及版本、cpu信息、主机时间、用户进程列表等基础信息。

而后，使用硬编码的UA：mozilla/4.0 (compatible; msie 8.0; windows nt 5.1; trident/4.0)上线参数携带的C2：http://sfrclak.com:8000/6202033。

木马的主体函数支持解析C2段指令，执行相应的进程结束、shell执行、进程注入（DoActionIjt）、脚本执行（DoRunScpt\DoActionScpt）、指定目录信息收集（DoActionDir）等基础远控功能。

同时，Linux版本的ld.py载荷和Windows版本的temp.ps1均为该木马不同的语言版本，功能完全一致。

微步情报局结合上述木马的特征进行威胁狩猎，发现多个本次事件涉及的其他样本，详情请见附录中“新拓线的IOC”部分。

归因分析

微步情报局分析认为，本次发现的木马在TTPs、木马行为和相关狩猎规则、网络通信UA、后续载荷落地路径、主机信息获取方式及API调用参数方面，和26年2月公开Mandiant披露的LazarusAPT组织所用WAVESHAPER木马高度相似，可基本确认同源。详细分析如下。

1、 Lazarus历史攻击事件TTPs关联

此次攻击事件中，macOS用户中招后最先落地的二进制木马路径为：/Library/Caches/com.apple.act.mond。对比2026年2月Mandiant披露的UNC1069 组织（微步及多数国内安全厂商归因至Lazarus）活动中的WAVESHAPER木马落地路径“/Library/Caches/com.apple.mond”，二者路径完全一致，文件名高度相似。

图：Mandiant披露的信息

微步情报局在2025年下半年捕获的Lazarus组织攻击事件中，其Nukesped特马落地路径为“/Library/Caches/System Settings”，与本次供应链投毒事件中木马落地目录一致，并且木马收集macOS用户进程列表的命令及参数（sh-cps -eo user,pid,command）完全一致。

图：本次事件中com.apple.act.mond木马进程列表收集

2、 WAVESHAPER木马关联

微步情报局暂时无法获取到Mandiant披露报告中的WAVESHAPER样本（md5：c91725905b273e81e9cc6983a11c8d60），但对比报告中提到的木马行为和相关狩猎规则，发现当前事件中的com.apple.act.mond木马与WAVESHAPER木马高度相似，均为C++开发的macOS木马。木马基础信息收集功能基本一致。

图：Mandiant披露的WAVESHAPER功能描述

图：com.apple.act.mond木马main函数主机信息收集

进一步比对Mandiant披露的Yara检测规则

（G_Backdoor_WAVESHAPER_1 ）。

当前木马中硬编码的网络通信UA“mozilla/4.0 (compatible; msie 8.0; windows nt 5.1; trident/4.0)”、后续载荷落地路径、主机信息获取方式及API调用参数高度一致。可基本确认com.apple.act.mond与WAVESHAPER木马代码同源关联。

综上，我们认为当前事件中使用的com.apple.act.mond木马即WAVESHAPER木马，其背后攻击组织为Lazarus APT组织。

完整处置方案

Windows

（1）通过OneSEC清理和处置

● 下发文件清理任务:

C:\ProgramData\wt.exe

C:\ProgramData\system.bat

%TEMP%\6202033.ps1

注:%TEMP%和每个机器的用户名称有关系,需要根据每个机器的实际情况下发任务,可以在日志调查使用语句target in (‘6202033.ps1’)中快速查出有问题的终端和文件路径:

● 删除注册表启动项，启动项名称: MicrosoftUpdate 启动命令行: C:\ProgramData\system.bat

● 阻断网络：sfrclak.com,  142.11.206.73

（2）通用清理和处置方法

● 清理注册表中HKCU\Software\Microsoft\Windows\CurrentVersion\Run的MicrosoftUpdate注册启动项

● 清理%PROGRAMDATA%路径(一般是C:\ProgramData\下)的system.bat文件，停止相关进程

● 清理%TEMP%路径(一般是C:\Users\<用户名>\AppData\Local\Temp)的6202033.vbs以及6202033.ps1文件，停止相关进程

● 阻断网络：sfrclak.com, 142.11.206.73

● 重启电脑

MAC

（1）通过OneSEC清理和处置

● 下发文件清理任务:

/Library/Caches/com.apple.act.mond

/tmp/.XXXXXX.scpt

/private/tmp/.%UID%（%UID%为[a-zA-Z0-9]{6}包含大小写字母和数字的6位随机数）

● 重启电脑

● 阻断网络：sfrclak.com, 142.11.206.73

（2）通用清理和处置方法

● 删除以下文件：

/Library/Caches/com.apple.act.mond

/tmp/.XXXXXX.scpt

/private/tmp/.%UID% （%UID%为[a-zA-Z0-9]{6}包含大小写字母和数字的6位随机数）

● 重启电脑

● 阻断网络：sfrclak.com,142.11.206.73

Linux

Linux平台下载的Python脚本无持久化操作，仅需做如下处置：

● 移除nohup下涉及 /tmp/ld.py的命令行，结束/tmp/ld.py相关进程；

● 检查是否存在/tmp/.%UID% （%UID%为[a-zA-Z0-9]{6}包含大小写个字母的6位随机数）构成的文件以及相关进程，若存在则结束进程并删除文件。

● 阻断网络:sfrclak.com(142.11.206.73)

● 如条件允许，建议重启主机

附录：IOC

已公开的IOC

C2

sfrclak.com

http://sfrclak.com:8000/6202033

142.11.206.73

Hash

Linux平台（ld.py）：

fcb81618bb15edfdedfb638b4c08a2af9cac9ecfa551af135a8402bf980375cf

Windows平台（6202033.ps1）：

617b67a8e1210e4fc87c92d1d1da45a2f311c08d26e89b12307cf583c900d101

Windows平台持久化组件（system.bat）：

f7d335205b8d7b20208fb3ef93ee6dc817905dc3ae0c10a0b164f4e7d07121cd

macOS平台（com.apple.act.mond）：

92ff08773995ebc8d55ec4b8e1a225d0d1e51efa4ef88b8849d0071230c9645a

新拓线的IOC

C2

callnrwise.com

142.11.196.73

142.11.199.73

Hash

5b5fbc627502c5797d97b206b6dcf537889e6bea6d4e81a835e103e311690e22

46f5eea70d536f7affe40409d7aaa5fa0009f0dc4538ba2867cb7569737db859

8c8f5f095d65d3f33ce89a77dfbe84a79bb29d2e0073a57a23dcc014d0683c2e

506690fcbd10fbe6f2b85b49a1fffa9d984c376c25ef6b73f764f670e932cab4

4465bdeaddc8c049a67a3d5ec105b2f07dae72fa080166e51b8f487516eb8d07

ed8560c1ac7ceb6983ba995124d5917dc1a00288912387a6389296637d5f815c

-End-

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：微步在线 微步情报局 微步情报局《实锤！Lazarus是Axios供应链投毒幕后黑手》