文章总结： 该文档详述了2026年Axios库供应链攻击事件，攻击者通过接管维护者账号发布含恶意依赖plain-crypto-js的版本，植入全平台RAT。事件波及OpenClaw生态及大量AIAgent工具链，严重影响开发者环境。安全社区迅速响应，npm官方已下架恶意包。建议立即排查并锁定依赖版本，使用安全工具扫描，隔离运行环境，并及时轮换凭证以防范后续风险。 综合评分： 89 文章分类： 供应链安全,恶意软件,安全大事件,应急响应,漏洞预警

Axios 被投毒植入全平台 RAT，OpenClaw 生态全线沦陷！！！

原创

rayh4c rayh4c

先进攻防

2026年3月31日 12:45 北京

一、Axios 库背景：JS 生态的“HTTP 标配”

Axios 是目前 JavaScript/Node.js 生态中最受欢迎的 Promise-based HTTP 客户端库，由开源社区维护，主要用于浏览器和服务器端发起 HTTP 请求。它支持拦截器、自动转换 JSON、取消请求、超时处理等特性，几乎已成为 React、Next.js、Electron、CLI 工具乃至 AI Agent 框架的标配依赖。

• 下载量：每周超过 1 亿次（部分报告显示近期已达 3 亿+），依赖链覆盖超过 17 万个 npm 包。
• 历史：自 2014 年左右诞生以来，长期由核心维护者维护，通过 GitHub Actions 进行 CI/CD 发布，代码透明度高，被视为“可靠的基础设施”。
• 为什么容易成为攻击目标？其广泛使用意味着一次维护者账号失陷，就能瞬间波及全球数百万开发者环境。历史上 npm 供应链攻击已多次证明：基础库一旦中招，影响呈指数级放大。

Axios 本身代码干净，但其 npm 发布流程（尤其是维护者凭证）正是本次攻击的突破口。

二、2026-03-31 axios 供应链攻击完整事件线

北京时间 3 月 31 日凌晨至中午，攻击发生得极快、极隐蔽：

1. 前期准备（3 月 30 日）：攻击者先发布“干净”版本 [email protected]，建立发布历史，降低可疑度。
2. 账号接管（3 月 31 日早）：axios 核心维护者账号（jasonsaayman）被钓鱼/凭证窃取。攻击者将邮箱改为匿名 ProtonMail，并绕过 GitHub Actions CI/CD，直接用 npm CLI 手动发布恶意版本：

• [email protected]（无对应 GitHub tag）
• [email protected]

1. 恶意注入：两个版本在 dependencies 中偷偷加入从未在 axios 源码中 import 的 [email protected]。该包的 postinstall 脚本（setup.js）是核心 payload：

• 运行时解混淆嵌入代码
• 动态加载 fs、os、child_process 等绕过静态扫描
• 下载多平台 RAT（Windows/Linux/macOS）到临时目录/ProgramData
• 执行 shell/PowerShell 命令，连接 C2 服务器（sfrclak.com:8000 或类似）
• 执行后自删痕迹，并将自身 package.json 替换为干净版本，伪装正常

1. 曝光与响应：

• UTC 02:35（北京时间约 10:35），Socket.dev 创始人 Feross 率先在 X 上预警，Socket AI 几分钟内完成静态+动态分析并标记高危。
• StepSecurity、GitHub issues 等迅速跟进确认。
• npm 官方快速下架恶意版本。目前新 npm install 已安全，但已安装 1.14.1 的机器可能已中招。

本次攻击属于“维护者账号直接接管 + 隐形依赖投毒”经典案例，曝光窗口仅 1-2 小时，影响面极广。

三、OpenClaw 及整个生态的影响分析

OpenClaw（曾用名 Moltbot/ClawdBot）是一款开源、自托管的 AI 个人智能体平台，强调“主权架构”：Agent 可直接访问文件系统、终端，能力通过“Skill”（技能插件）扩展。核心分发渠道是 ClawHub 技能市场，支持搜索、安装、发布第三方 Skill。

本次 axios 攻击对 OpenClaw 生态的具体冲击

• 直接波及：OpenClaw 生态大量工具链、Gateway、Skill 依赖 axios 做 HTTP 请求（API 调用、外部服务集成）。任何今天更新依赖、安装新 Skill 或运行 npm update 的项目，都可能拉入 1.14.1，导致 RAT 落地。

• 已观察到的关联恶意包（Socket 标记）：

• @shadanai/openclaw（OpenClaw AI gateway 的假 fork，将 plain-crypto-js 打包进 setup.js）

• @qqbrowser/[email protected] 等（node_modules 内篡改 axios + 恶意依赖）

• 间接连锁效应：

• ClawHub Skill 若间接依赖 axios（常见于网络工具类 Skill），更新即中招。

• OpenClaw 实例常跑在开发者服务器/常驻环境，RAT 一旦执行可窃取所有 API Key、文件、甚至接管 Agent，形成“Agent-to-Agent”攻击链。

• 影响等级：中-高。不是 OpenClaw 官方核心仓库被攻破，但生态已处于高危状态，今天 axios 攻击进一步放大暴露面。

• 受影响项目清单（已核实）：

• OpenClaw 官方 CLI / Gateway

• 第三方 fork（如 shadanai/openclaw 等）

• 任何集成 ClawHub 的 AI Agent 工具链

• 依赖 axios 的生产力 Skill（加密、自动化、API 集成类）

四、外界反应

本次攻击曝光后，安全行业、开源平台、媒体和官方机构迅速作出公开反应，整体呈现“快速响应、理性警示、呼吁行动”的特征：

• 安全工具与研究机构率先发声：Socket.dev 创始人 Feross 在 X 上于 UTC 02:35 发布首条“CRITICAL”预警，附带 Socket AI 完整分析报告（静态+动态行为），被转发数千次，成为行业风向标。StepSecurity 紧随其后发布技术博客，详细拆解维护者账号接管流程、payload 自删机制及 C2 通信细节，并向 npm 官方提交正式报告。
• npm 官方快速干预：npm 团队在事件曝光后 1 小时内下架恶意版本，并在 GitHub 公开沟通渠道确认“维护者凭证泄露为根因”，同时提醒所有依赖 axios 的项目立即执行 lockfile 检查。
• 主流媒体与论坛跟进：CyberKendra、The Hacker News 等安全媒体在数小时内发布专题报道，强调“这是 2026 年 npm 生态又一次教科书级的针对开发生态关键组件维护者的攻击”。Hacker News 上出现多个高赞讨论帖，开发者分享实际中招案例与自救经验；Reddit r/javascript、r/cybersecurity 等子版块也同步出现大量自查帖。
• OpenClaw 及 AI Agent 社区反应：OpenClaw 官方暂未发布正式声明，但 ClawHub 相关 Discord/Telegram 群及 X 话题下，开发者普遍表达担忧。中文开发者社区（微信群、B 站、知乎）反应强烈，多位 OpenClaw 用户公开报告“更新工具链后触发 RAT 报警，已紧急执行凭证轮换”。
• 整体业界基调：反应强烈但高度理性，无大规模恐慌或阴谋论。多家安全公司借机重申“AI Agent 时代供应链安全是底线”，并推荐 Socket、GuardDog 等工具作为标配防护手段。开源社区普遍认为，此事件再次证明“基础库维护者账号安全”已成为行业共同责任。

外界反应高效、专业且聚焦于“立即行动”，为受影响开发者提供了清晰指引。

五、立即行动建议

1. 检查 & 降级：grep axios package-lock.json（或 yarn/pnpm lock），发现 1.14.1 → 删除 node_modules + lock，重装并锁死 "axios": "^1.14.0"。
2. Socket 扫描：全局安装 socket CLI，运行 socket scan create . 或 socket npm install。
3. OpenClaw 专项防护：

• Skill 只从官方高星来源，手动 review 代码。
• 实例跑 Docker + 最小权限，隔离环境。
• 发现异常立即执行所有受影响凭证的轮换，同时检查日志和 C2 连接。

1. 长期：开启 Socket GitHub App，PR 自动扫描；使用 npm audit + 依赖锁定；考虑 SBOM 工具。

此次Axios 攻击事件再次敲响警钟：在 AI Agent 时代，供应链安全不再是“别人家的事”。OpenClaw 生态的开放性是优势，也是最大风险点。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：先进攻防 rayh4c rayh4c《Axios 被投毒植入全平台 RAT，OpenClaw 生态全线沦陷！！！》