文章总结： 知名前端库axios的两个版本（1.14.1和0.30.4）被投毒，攻击者入侵了其维护者的npm账户并植入恶意依赖plain-crypto-js。该事件影响广泛，建议开发者检查项目依赖，通过更换安全版本、网络层阻断等方式进行修复。 综合评分： 95 文章分类： 安全大事件,恶意软件,供应链安全,漏洞预警,WEB安全

【安全大事件】知名前端库 axios 被投毒

ChinaRan404 ChinaRan404

知攻善防实验室

2026年3月31日 11:37 浙江

涉及版本

[email protected]

[email protected]

什么是 axios

axios 是 JavaScript 生态系统中是最流行的 HTTP 客户端库。它几乎用于所有发出 HTTP 请求的 Node.js 和浏览器应用程序——从 React 前端到 CI/CD 工具再到服务端 API。每周下载量超过 3 亿次，即使是单个次要版本的入侵也有巨大的潜在爆炸半径。开发者运行常规的 npm install 或 npm update 时，没有任何理由怀疑该包正在部署恶意软件。

攻击过程

攻击者入侵了 axios 项目的主要维护者 jasonsaayman 的 npm 账户。

在发布带后门的 axios 版本之前，攻击者在 npm 上预先布置了一个恶意包：[email protected]，从一个单独的一次性账户发布（nrwise，[email protected]）。

攻击者发布了 [email protected] 和 [email protected]，将 plain-crypto-js: "^4.2.1" 添加为运行时依赖——这个包从未出现在任何合法的 axios 发布中

受影响系统

Mac、Windows、Linux

如何排查

# 检查项目中是否有恶意版本npm list axios 2>/dev/null | grep -E "1\.14\.1|0\.30\.4"grep -A1 '"axios"' package-lock.json | grep -E "1\.14\.1|0\.30\.4"

#检查 node_modules 中的 plain-crypto-jsls node_modules/plain-crypto-js 2>/dev/null && echo "可能受影响"

修复方案

换版本

网络层阻断 C2

iptables -A OUTPUT -d 142.11.206.73 -j DROPecho "0.0.0.0 sfrclak.com" >> /etc/hosts

最后我想说

能重装的尽可能重装吧，危害有点广…..

原文链接

https://www.stepsecurity.io/blog/axios-compromised-on-npm-malicious-versions-drop-remote-access-trojan

交流群

CISP、NISP、CISP-PTE、CISSP 等网安证书低价考证+Admin_Ran(备注考证)

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：知攻善防实验室 ChinaRan404 ChinaRan404《【安全大事件】知名前端库 axios 被投毒》