文章总结： 微步情报局溯源确认朝鲜背景的LazarusAPT组织通过劫持axios维护者npm账号，发布植入恶意依赖[email protected]的axios1.14.1与0.30.4版本，触发postinstall钩子下载全平台远控木马，导致全球年下载超36亿次的基础库面临供应链攻击风险。攻击利用与历史活动高度吻合的TTPs（如macOS木马路径、硬编码UA、信息收集命令），建议受影响用户立即检查版本、清理特定路径文件并重启系统。 综合评分： 91 文章分类： 供应链安全,恶意软件,应急响应,漏洞预警,安全运营

实锤！Lazarus是Axios供应链投毒幕后黑手，36亿次下载危！

原创

AI紫队安全研究 AI紫队安全研究

AI紫队安全研究

2026年4月12日 12:00 广东

在小说阅读器读本章

去阅读

大家好，我是AI紫队安全研究。建议大家把公众号“AI紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“AI紫队安全研究”，然后点击右上角的【…】,然后点击【设为星标】即可。

关注视频号 “AI紫队安全研究” 不定期周五晚上10点直播。

一场席卷全球开发者的供应链风暴刚刚被溯源至源头——那个令人闻风丧胆的APT组织。

深夜，无数开发者的电脑在安装一个看似普通的JavaScript库时，系统悄然沦陷。这不是科幻情节，而是过去24小时内真实发生的国家级APT攻击。

微步情报局通过深度分析与威胁狩猎，首次实锤：昨日震惊全球的Axios npm供应链投毒事件，幕后黑手正是朝鲜背景的Lazarus APT组织。

01 风暴之眼

作为JavaScript生态最核心的依赖之一，Axios的年下载量超过36亿次，直接或间接依赖的项目超过17.4万个。

此次攻击事件中，Lazarus组织劫持了Axios维护者的npm账号，发布了两个恶意版本：Axios 1.14.1 和 0.30.4。

当开发者安装这些版本时，一个名为 [email protected] 的恶意依赖会被隐性植入。这个包在安装后通过postinstall钩子自动执行恶意脚本，从而下载并运行全平台远控木马。

Windows、macOS、Linux用户无一幸免，已有不少用户在安装相关软件时中招。

02 攻击链条

此次供应链攻击的链条清晰而致命：

1.  账号劫持：攻击者首先控制了Axios维护者的npm发布账号。

2.  投毒发布：发布带有恶意依赖 [email protected] 的Axios版本。

3.  依赖触发：恶意包的 package.json 中设置了 “postinstall”: “node setup.js”，在安装后自动执行。

4.  脚本混淆：被执行的 setup.js 是一个经过高度混淆的JavaScript文件，核心功能是检测主机操作系统。

5.  分投载荷：根据不同的操作系统，从攻击者控制的服务器下载对应的木马。

    ◦   Linux：/tmp/ld.py (Python脚本)

    ◦   Windows：%TEMP%\6202033.ps1 (PowerShell脚本)

    ◦   macOS：/Library/Caches/com.apple.act.mond (C++编译的二进制木马)

6.  建立远控：最终载荷上线至C2服务器，接受指令，实现设备控制与信息窃取。

03 木马解剖

以功能最复杂的macOS版本木马 com.apple.act.mond 为例，该木马使用C++开发，存在ARM和x86_64两种架构版本，具备完整的远控功能：

•   信息窃取：率先收集主机名、用户名、操作系统详情、CPU信息、时区、已安装软件列表、完整的进程列表等敏感数据。

•   隐蔽通信：使用一个特殊的硬编码User-Agent进行通信：mozilla/4.0 (compatible; msie 8.0; windows nt 5.1; trident/4.0)。

•   强大功能：木马支持解析C2指令，执行包括结束进程、执行Shell命令、进程注入、运行脚本、收集指定目录文件信息等在内的多种恶意操作。

Windows和Linux版本的载荷功能与此完全一致，只是实现语言不同。

04 归因实锤

为何能将此次攻击锁定为Lazarus？微步情报局给出了多重铁证：

1. 历史TTPs高度吻合

•   路径一致：此次木马在macOS上的落地路径为 /Library/Caches/com.apple.act.mond。而在2026年2月Mandiant披露的Lazarus（又称UNC1069）组织活动中，其使用的WAVESHAPER木马的路径是 /Library/Caches/com.apple.mond，二者几乎相同。

•   命令一致：木马收集进程列表的命令 ps -eo user,pid,command，与微步在2025年捕获的Lazarus另一款名为“Nukesped”的木马完全一致。

2. 与WAVESHAPER木马同源

尽管未获得WAVESHAPER样本原件，但通过对比Mandiant公开的报告和YARA检测规则，发现了决定性关联：

•   硬编码UA一致：都使用了上述特征明显的旧版IE User-Agent。

•   信息收集方式一致：都通过调用 sysctlbyname(“hw.model”)、sysctlbyname(“machdep.cpu.brand_string”) 等系统调用获取硬件信息。

•   载荷落地模式一致：后续下载的载荷都保存在 /tmp/. 后接6位随机字符的路径下。

上述代码特征、行为模式的深度重合，基本确认此次事件中的木马就是WAVESHAPER木马的变种或同源样本，从而将攻击者指向Lazarus组织。

05 紧急处置方案

如果您或您的企业可能受到影响，请立即按照以下方案进行处置：

通用建议

•   立即检查系统中是否安装了Axios 1.14.1或0.30.4版本，并尽快升级到官方发布的安全版本。

•   检查系统临时目录和特定路径（如下所述）是否存在可疑文件。

•   关注网络安全设备告警，尤其注意对异常域名的连接请求。

Windows 系统

1.  清理文件：删除以下路径的文件

    ◦   C:\ProgramData\wt.exe

    ◦   C:\ProgramData\system.bat

    ◦   %TEMP%\6202033.ps1 (例如：C:\Users[用户名]\AppData\Local\Temp\6202033.ps1)

2.  清理注册表：删除注册表启动项 HKCU\Software\Microsoft\Windows\CurrentVersion\Run 下的名为 MicrosoftUpdate 的项。

3.  重启系统。

macOS 系统

1.  清理文件：删除以下路径的文件

    ◦   /Library/Caches/com.apple.act.mond

    ◦   /tmp/.XXXXXX.scpt (X为随机字符)

    ◦   /private/tmp/ 目录下所有以点开头、由6位随机字母数字组成的文件 (如 /.aBc12D)

2.  重启系统。

Linux 系统

1.  结束进程：结束与 /tmp/ld.py 相关的所有进程。

2.  清理文件：删除 /tmp/ld.py 以及 /tmp/ 目录下所有以点开头、由6位随机字母数字组成的文件。

3.  重启主机。

此次攻击再次为整个软件供应链安全敲响警钟。即使是Axios这样拥有广泛信任的基础库，一旦维护环节被攻破，也会成为威胁扩散的“特洛伊木马”。

开源软件的维护者、企业安全团队乃至普通开发者，都必须将供应链安全提升到最高优先级。及时更新、验证依赖、监控异常网络行为，已成为数字时代生存的必备技能。

Lazarus的幽灵仍在游荡，而保卫我们数字世界的战役，每一刻都在继续。

加入知识星球，可获取权益

一、”全球高级持续威胁：网络世界的隐形战争”，总共26章，为你带来体系化认识APT，欢迎感兴趣的朋友入圈交流。

二、为什么加入？

职场瓶颈期找不到突破方向？安全项目落地缺成熟方案？面对APT攻击、勒索病毒不知如何构建防御体系？

三、在这里，你能获得的不只是资料包，而是直接对接行业专家的「私人顾问服务」

✅ 职业发展「精准导航」

 1v1简历优化：针对安全岗（渗透测试/安全运营/合规等）拆解JD，突出核心竞争力；

 晋升避坑指南：从工程师到安全负责人，分享晋升路径，避开「技术强但管理弱」的晋升陷阱；

 技能栈规划：根据你的基础（应届生/3年经验/资深专家）定制学习路线，比如从0到1学SOC安全建设、APT威胁狩猎。

✅ 安全方案「对症开方」

 实战方案库：含医疗/制造业/等行业的勒索防御、数据安全合规、供应链安全加固方案（附落地工具清单+成本测算）；

 架构设计咨询：小到EDR选型，大到零信任体系搭建，提供「预算效果」平衡的最优解（已帮10+企业节省40%防护成本）。

✅ 圈子资源「直接对接」

 大厂安全负责人拆解真实案例（如某支付公司攻防对抗的实战复盘）；

四、适合谁？

 想突破职业天花板的安全工程师/架构师；

 需快速落地安全项目的企业负责人；

 关注行业动态的安全爱好者或IT从业人员。

喜欢文章的朋友动动发财手点赞、转发、赞赏，你的每一次认可，都是我继续前进的动力。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：AI紫队安全研究 AI紫队安全研究 AI紫队安全研究《实锤！Lazarus是Axios供应链投毒幕后黑手，36亿次下载危！》