News (HK)

Axios 維護者帳戶駭客將惡意軟體插入 npm 並攻擊雲端環境

Por Redação 31 de março de 2026 1 min de leitura
WhatsApp Twitter Facebook Seguir no Google E-mail
Axios NPM Distribution
Foto: Axios NPM Distribution

網路安全事件損害了全球程式設計社群中使用最廣泛的軟體包之一的完整性。庫 Axios 的維護者在 npm 註冊表中的帳戶遭到破壞,允許未經授權的行為者發布該軟體的竄改版本。該事件暫時暴露了依賴該工具在應用程式之間進行通訊的龐大技術基礎設施網路。

被識別為惡意的版本,特別是 1.14.1 和 0.30.4,帶有旨在滲透系統的隱藏依賴項。欺詐性插入的程式碼為下載輔助有效負載建立了一座橋樑,以適應受感染機器的作業系統。問題的快速發現避免了更大的災難,但最初的影響引起了事件回應團隊的警報。

據估計,該庫存在於大多數雲端環境中,並且每週的下載量都超過了顯著水平,因此該庫成為現代 Web 開發的支柱。代碼 GHSA-fw8c-xr5c-95f9 和 MAL-2026-2306 記錄的故障需要立即動員以刪除受損檔案並審核可能受影響的伺服器。

威脅滲透和傳播機制

攻擊者使用的策略是基於供應鏈中毒技術。 Eles 將木馬 plain-crypto-js 套件直接引入到更改版本的原始程式碼中,從而創建了靜默攻擊向量。

這種惡意依賴項就像 Troia 木馬一樣,在開發人員在其專案中更新或安裝該程式庫時啟動。該惡意軟體的主檔案名稱為 setup.js,充當滴管,負責為實際感染做好準備。一旦運行,它就會聯繫外部伺服器以獲取特定指令並下載駭客的最終工件。

為了確保標準監控系統不會注意到感染,該腳本在下載主要有效負載後立即執行自我清理例程。 Ele抹去了自己的痕跡,恢復了一個乾淨的配置文件,掩蓋了開發環境的變化。 Durante 在官方儲存庫中保留被竄改版本的短暫時間內,資料顯示下載更新的部分系統實際上執行了有害程式碼。專家們確定了此次行動的以下核心要素:

  • 託管在 sfrclak.com 網域上的命令和控制伺服器。
  • 透過連接埠 8000 建立通訊。
  • 系統庫存每 60 秒傳輸一次。
  • 遠端 shell 執行和二進位注入功能。

有害程式碼的跨平台行為

此惡意工件透過根據目標作業系統調整其最終有效負載,表現出高度的複雜性。 Essa 多功能性確保運作不同平台的機器同樣容易受到資料竊取和遠端控制的影響。

在 macOS 環境中,威脅透過用 C++ 編譯的通用二進位檔 Mach-O 表現出來,能夠對注入的進程進行簽署。在 Windows 系統上的 Já,透過 PowerShell 腳本和登錄項確保持久性,而在 Linux 上,透過 Python 腳本執行。

企業基礎設施的審計程序

識別生產伺服器或本機電腦上的任何受感染版本需要技術團隊立即回應。第一步是隔離環境並停止使用受影響庫的任何建置進程。

調查範圍必須涵蓋尋找洩漏的秘密,例如環境變數、資料庫存取金鑰和程式設計介面令牌。此類性質的事件的標準假設是考慮受感染電腦上存在的所有憑證均已洩露。

完整的密碼輪替和撤銷舊的存取權限成為重建安全的強制步驟。 Além 此外,分析網路日誌有助於識別暴露期間與外部 IP 可能存在的異常通訊。

追蹤入侵的技術指標

遏制工作直接取決於搜尋惡意軟體在作業系統上留下的特定工件。被篡改的原始檔案的加密雜湊值充當自動安全掃描中的第一個過濾器。

Leia Tambem
製造商更新優質智慧型手機照片感測器,重點關注變焦和人工智慧

製造商更新優質智慧型手機照片感測器,重點關注變焦和人工智慧

洩密者在 4 月的 PS Plus Essential 目錄中透露了《墮落之王》和《刀劍神域》

洩密者在 4 月的 PS Plus Essential 目錄中透露了《墮落之王》和《刀劍神域》

製造商 OPPO 確認發布新款 Find X9 Ultra 和 Pro 智慧型手機的正式日期,主打相機

製造商 OPPO 確認發布新款 Find X9 Ultra 和 Pro 智慧型手機的正式日期,主打相機

中間階段包負責彌合合法圖書館和犯罪分子伺服器之間的差距,具有獨特的數位簽名,必須被防火牆和入侵檢測系統阻止。

在Microsoft生態系統中,臨時資料夾或程式目錄中隱藏的可執行檔的存在表示感染成功。創建未經授權的計劃任務也是妥協的強烈跡象。

對於基於自由軟體的基礎設施,應注意系統的臨時檔案目錄,在開始與攻擊基礎設施通訊之前,解釋腳本通常會在其中解壓縮。

開源軟體分發的弱點

這一事件凸顯了開源分發模型中的結構性弱點,即對廣泛使用的軟體包的隱式信任創建了高效的攻擊向量。 Quando 具有發布權限的單一維護者的帳戶被破壞,級聯效應同時影響數千個公司和獨立專案。上傳新版本時缺乏多層驗證使得插入未經審核的程式碼變得更容易。

技術社群的回應包括要求管理關鍵儲存庫的開發人員採用更嚴格的身份驗證方法。強制數位簽章和兩步驟完整性驗證的實施被強調為減輕帳戶劫持風險的可行解決方案。 Ferramentas 靜態程式碼分析還可以在軟體到達最終用戶之前偵測異常行為。

流量監控和網路異常偵測

主動防禦進階持續性威脅需要完全了解內部應用程式產生的網路流量。建立正常行為的基線使安全系統能夠快速識別偏差,例如未映射的出站連接或非典型時間的資料傳輸峰值。在此事件的具體案例中,與 IP 位址 142.11.206.73 的持續通訊代表了惡意活動的明顯跡象,這是遠端存取木馬典型的信標行為的特徵。為指向新註冊或低信譽網域的 HTTP POST 請求配置自動警報,可為防止敏感資訊外洩提供額外的屏障。將威脅情報整合到下一代防火牆中可以加速阻止已知犯罪基礎設施,從而減少企業資料外洩的機會之窗。

程式設計師的網路健康實踐

維護安全的開發環境需要採取嚴格的依賴控制策略。阻止自動軟體包更新並要求新版本事先獲得批准,可以大幅減少持續整合管道中的攻擊面。

加強憑證和存取控制

採用基於硬體的多因素身份驗證本身就是防止維護者憑證被盜的最強大的防禦措施。傳統的 Senhas 即使很複雜,在面對有針對性的網路釣魚活動和第三方資料庫洩漏時也被證明是不夠的。

嚴格的權限管理確保只有嚴格必要的使用者才被允許更改核心原始碼。立即取消不活躍員工的存取權限補充了降低內部和外部風險的策略。