资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
Slow Fog 标记 axios 恶意版本携带 plain-crypto-js 恶意软件,通过 npm 使加密开发者面临跨平台远程访问木马及凭证泄露风险。
事件概述
在维护者账户遭攻击后,Slow Fog 将 axios@1.14.1 和 axios@0.3.4 标记为恶意版本。被植入的 plain-crypto-js@4.2.1 包通过安装后脚本部署跨平台远程访问木马。由于 npm 已回滚 axios 至 1.14.0 版本,使用 openclaw@2026.3.28 的开发者应立即轮换凭证并检查主机安全。
攻击详情
区块链安全公司 Slow Fog 发布紧急安全提醒,指出新发布的 axios@1.14.1 和 axios@0.3.4 引入了恶意依赖包 plain-crypto-js@4.2.1,使这一广泛使用的 JavaScript HTTP 客户端沦为针对加密开发者的供应链武器。Axios 在 npm 上每周下载量超过 8000 万次,这意味着即使短暂的攻击也可能波及基于 Node.js 构建的钱包后端、交易机器人、交易所和 DeFi 基础设施。
Slow Fog 在公告中警告称,通过 npm install -g 安装 openclaw@2026.3.28 的用户可能已面临风险,建议立即轮换凭证并对主机进行彻底检查以排查入侵痕迹。
攻击手段分析
此次攻击依赖于伪造的加密包 plain-crypto-js@4.2.1,该包被静默添加为新依赖项,其唯一目的是执行经过混淆的安装后脚本,从而部署针对 Windows、macOS 和 Linux 系统的跨平台远程访问木马。
安全公司 StepSecurity 解释称,恶意版本中并不包含任何直接的恶意代码,而是注入了伪造的 plain-crypto-js@4.2.1 依赖包,该包的唯一作用就是运行安装后脚本来部署跨平台远程访问木马。Socket 研究团队指出,恶意 plain-crypto-js 包在 axios 受攻击版本发布前数分钟才被发布,认为这是针对 JavaScript 生态系统的协同供应链攻击。
账户劫持与影响
据 StepSecurity 分析,恶意 axios 版本是通过窃取主要维护者 jasonsaayman 的 npm 凭证发布的,攻击者借此绕过了项目通常基于 GitHub 的发布流程。安全工程师 Julian Harris 在 LinkedIn 上写道,这是一个活跃的供应链攻击案例,axios@1.14.1 新增了对 plain-crypto-js@4.2.1 的依赖,而该包在数小时前发布,被确认为可执行 Shell 命令并清除痕迹的混淆恶意软件。
npm 现已移除恶意版本并将 axios 恢复至 1.14.0,但在攻击窗口期内拉取 1.14.1 或 0.3.4 版本的环境仍面临风险,直至完成凭证轮换和系统重建。
历史攻击与行业警示
此次攻击与先前针对加密用户的 npm 安全事件相呼应,包括 2025 年的一场攻击活动,其中 chalk、debug 等 18 个流行软件包被静默篡改以窃取钱包资金,促使 Ledger 首席技术官 Charles Guillemet 警告称受影响软件包累计下载量已超 10 亿次。
研究人员还记录到 npm 恶意软件窃取 Ethereum、XRP 和 Solana 钱包密钥的案例,SlowMist 估算仅 2025 年上半年,包括后门软件包和 AI 辅助供应链攻击在内的加密黑客与欺诈行为已造成超过 23 亿美元损失。Slow Fog 当前建议明确:将 axios 降级至 1.14.0,检查所有依赖项中是否存在 plain-crypto-js@4.2.1 或 openclaw 的痕迹,并默认相关环境接触过的所有凭证均已泄露。
