News (CN)

Axios 维护者帐户黑客将恶意软件插入 npm 并攻击云环境

作者 Redação 2026年3月31日 1 min de leitura
WhatsApp Twitter Facebook 在Google上关注 E-mail
Axios NPM Distribution
照片: Axios NPM Distribution

网络安全事件损害了全球编程社区中使用最广泛的软件包之一的完整性。 npm 注册表中的 Axios 库维护者帐户遭到破坏,导致未经授权的人员可以发布该软件的篡改版本。该事件暂时暴露了依赖于该工具在应用程序之间进行通信的庞大技术基础设施网络。

被识别为恶意的版本,特别是 1.14.1 和 0.30.4,带有旨在渗透系统的隐藏依赖项。欺诈性插入的代码为下载辅助有效负载建立了一座桥梁,以适应受感染机器的操作系统。问题的快速发现避免了更大的灾难,但最初的影响引起了事件响应团队的警报。

据估计,该库存在于大多数云环境中,并且每周的下载量都超过了显着水平,因此该库成为现代 Web 开发的支柱。代码 GHSA-fw8c-xr5c-95f9 和 MAL-2026-2306 记录的故障需要立即动员以删除受损文件并审核可能受影响的服务器。

威胁渗透和传播机制

攻击者使用的策略是基于供应链中毒技术。他们将木马化的 plain-crypto-js 包直接引入到更改版本的源代码中,从而创建了一个静默攻击向量。

这种恶意依赖关系就像特洛伊木马一样,当开发人员在其项目中更新或安装该库时就会被激活。该恶意软件的主文件名为 setup.js,充当滴管,负责为实际感染做好准备。一旦运行,它就会联系外部服务器以获取特定指令并下载黑客的最终工件。

为了确保标准监控系统不会注意到感染,该脚本在下载主要有效负载后立即执行自我清理例程。它抹去了自己的痕迹,恢复了一个干净的配置文件,掩盖了开发环境的变化。在官方存储库中保留被篡改版本的短暂时间内,数据表明下载更新的部分系统实际上执行了有害代码。专家们确定了此次行动的以下核心要素:

  • 托管在 sfrclak.com 域上的命令和控制服务器。
  • 通过端口 8000 建立通信。
  • 系统库存每 60 秒传输一次。
  • 远程 shell 执行和二进制注入功能。

有害代码的跨平台行为

该恶意工件通过根据目标操作系统调整其最终有效负载,表现出高度的复杂性。这种多功能性确保运行不同平台的机器同样容易受到数据盗窃和远程控制的影响。

在 macOS 环境中,威胁通过用 C++ 编译的通用 Mach-O 二进制文件表现出来,能够对注入的进程进行签名。在 Windows 系统上,持久性是通过 PowerShell 脚本和注册表项来保证的,而在 Linux 上,则通过 Python 脚本执行。

企业基础设施的审计程序

识别生产服务器或本地计算机上的任何受感染版本需要技术团队立即做出响应。第一步是隔离环境并停止使用受影响库的任何构建进程。

调查范围必须涵盖寻找泄露的秘密,例如环境变量、数据库访问密钥和编程接口令牌。此类性质的事件的标准假设是考虑受感染计算机上存在的所有凭据均已被泄露。

完整的密码轮换和撤销旧的访问权限成为重建安全的强制性步骤。此外,分析网络日志有助于识别暴露期间与外部 IP 可能存在的异常通信。

跟踪入侵的技术指标

遏制工作直接取决于搜索恶意软件在操作系统上留下的特定工件。被篡改的原始文件的加密哈希值充当自动安全扫描中的第一个过滤器。

Leia Tambem
新的电池测试使 Galaxy S26 Ultra 在全球排名中领先于 iPhone 17 Pro Max

新的电池测试使 Galaxy S26 Ultra 在全球排名中领先于 iPhone 17 Pro Max

三星为 Galaxy Watch 4 用户发布新系统更新和新功能

三星为 Galaxy Watch 4 用户发布新系统更新和新功能

数字零售通过银行奖金和设备交换降低了 Galaxy S25 5G 智能手机的价值

数字零售通过银行奖金和设备交换降低了 Galaxy S25 5G 智能手机的价值

中间阶段包负责弥合合法图书馆和犯罪分子服务器之间的差距,具有独特的数字签名,必须被防火墙和入侵检测系统阻止。

在 Microsoft 生态系统中,临时文件夹或程序目录中隐藏的可执行文件的存在表明感染成功。创建未经授权的计划任务也是妥协的强烈迹象。

对于基于自由软件的基础设施,应注意系统的临时文件目录,在开始与攻击基础设施通信之前,解释脚本通常会在其中解压缩。

开源软件分发的弱点

这一事件凸显了开源分发模型中的结构性弱点,即对广泛使用的软件包的隐式信任创建了高效的攻击向量。当具有发布权限的单个维护者的帐户遭到破坏时,连锁反应会同时影响数千个公司和独立项目。上传新版本时缺乏多层验证使得插入未经审核的代码变得更容易。

技术社区的回应包括要求管理关键存储库的开发人员采用更严格的身份验证方法。强制数字签名和两步完整性验证的实施被强调为减轻帐户劫持风险的可行解决方案。静态代码分析工具还可以在软件到达最终用户之前检测异常行为。

流量监控和网络异常检测

主动防御高级持续威胁需要完全了解内部应用程序生成的网络流量。建立正常行为的基线使安全系统能够快速识别偏差,例如未映射的出站连接或非典型时间的数据传输峰值。在此事件的具体案例中,与 IP 地址 142.11.206.73 的持续通信代表了恶意活动的明显迹象,这是远程访问木马典型的信标行为的特征。为指向新注册或低信誉域的 HTTP POST 请求配置自动警报,可以为防止敏感信息泄露提供额外的屏障。将威胁情报集成到下一代防火墙中可以加速阻止已知犯罪基础设施,从而减少企业数据泄露的机会之窗。

程序员的网络卫生实践

维护安全的开发环境需要采用严格的依赖控制策略。阻止自动软件包更新并要求新版本事先获得批准,可以大大减少持续集成管道中的攻击面。

加强凭证和访问控制

采用基于硬件的多因素身份验证本身就是防止维护者凭据被盗的最强大的防御措施。传统密码即使很复杂,在面对有针对性的网络钓鱼活动和第三方数据库泄露时也被证明是不够的。

严格的权限管理确保只有严格必要的用户才被允许更改核心源代码。立即取消不活跃员工的访问权限补充了降低内部和外部风险的策略。