文章总结： 黑客通过高度仿冒的社会工程学攻击，冒充科技公司创始人搭建虚假官网和Slack工作区，并组织真人出镜的Teams视频会议，诱骗axios维护者安装木马从而窃取发布令牌。攻击利用心理压力和全链条伪造环境，属于APT级定向攻击。官方建议中招者立即作废所有密钥令牌。 综合评分： 85 文章分类： 社会工程学,安全大事件,威胁情报,安全意识,应急响应

黑客为偷一个令牌，竟克隆了一整家公司：axios投毒事件中的“完美骗局”

AnYi AnYi

甲方叫我安服仔

2026年4月13日 09:51 浙江

在小说阅读器读本章

去阅读

|  一场精心策划的社会工程学攻击，让全球最流行的JS库险些沦陷。

上周，每周下载量近亿次的axios库被曝“投毒”——黑客拿到发布令牌，直接向官方仓库推送了带木马的恶意版本。虽然官方很快清除，但背后的攻击手法，让无数开发者后背发凉。

这根本不是什么技术漏洞，而是一部“量身定制”的好莱坞剧本。

第一步：克隆一个真实的“人”

攻击者没有直接攻击代码，而是把目标锁定在axios的首席维护者——Jason Saayman身上。

他们先冒充某家科技公司的创始人，主动联系Jason。为了让身份可信，骗子不仅盗用了该创始人的照片、履历，还专门搭建了一个高度仿冒的公司官网。从域名到页面设计，几乎可以乱真。

第二步：搭建一个以假乱真的工作环境

取得初步信任后，攻击者邀请Jason加入一个Slack工作区。这个工作区使用了真实公司的Logo、品牌配色，内部设有多个讨论频道，甚至有人在频道里分享该公司在LinkedIn上的官方帖子——这些帖子确实发布在真实账号上。

为了营造“活跃氛围”，他们还创建了多名假员工账号，以及几位“其他开源项目的维护者”账号。整个Slack看起来就像一家正常运转的科技公司。

第三步：真人出镜的视频会议

最让人惊叹的是第三步：攻击者安排了一场微软Teams视频会议。Jason进入会议后，屏幕上出现了“一群人”——多位骗子亲自出镜，衣着正式，背景工整，像模像样地讨论业务。

会议进行到一半，主持人突然皱眉：“奇怪，你的系统画面怎么和我们不一样？可能是Teams的某个插件过时了，我发你一个最新版本，装一下就好。”

文件通过聊天窗口传了过来。会议还在继续，所有人都在等你。你没有时间仔细核查，下意识双击了“安装包”。

木马瞬间运行。攻击者拿到了机器上的所有令牌——包括axios的发布密钥。

为什么防不住？

这不是普通的钓鱼邮件，而是一次全链条、高投入、真人参与的APT级社会工程学攻击。

• 假网站、假Slack、假同事、假会议……骗子甚至愿意真人出镜。
• 攻击节奏被精心设计，利用会议场景制造“急迫安装”的心理压力。
• 木马得手后，会扫描全盘所有密钥、环境变量和凭证，全部回传。

官方紧急提醒：如果曾不幸中招，机器上所有密钥、令牌、证书都必须立即作废——因为攻击者可能已经拿到了全部。

这一次，黑客输给了快速响应的社区。但下一次，类似的“真人定制骗局”会降临到谁头上？

你永远不知道，Teams那头和你开会的，到底是同事，还是奥斯卡影帝。

参考链接：

axios GitHub Issue #10636（官方说明）：https://github.com/axios/

axios/issues/10636#issuecomment-4180237789

Google Cloud 威胁情报报告：UNC1069 针对加密货币与AI领域的社会工

程攻击：https://cloud.google.com/blog/topics/threat-intelligence/un

c1069-targets-cryptocurrency-ai-social-engineering

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：甲方叫我安服仔 AnYi AnYi《黑客为偷一个令牌，竟克隆了一整家公司：axios投毒事件中的“完美骗局”》