打开网易新闻 查看精彩图片

有个消息值得所有前端开发者停下手里的活看一眼:axios 在 npm 上的两个版本被植入了恶意代码。这事有点像你叫了十年外卖的同一家店,突然有一天后厨混进了不明身份的人——你根本想不到要查它。

打开网易新闻 查看精彩图片

axios 是 JavaScript 世界里发送 HTTP 请求的基础设施,下载量以亿计。换句话说,它就像快递行业的顺丰,你以为只是用个服务,实际上它触达了你系统的每个角落。

打开网易新闻 查看精彩图片

攻击手法很朴素:你在项目里跑 npm install,恶意代码就跟着 axios 一起进来了。不需要你额外点什么、确认什么,安装即触发。CI/CD 流水线如果用了这两个版本,同样中招。

目前被投毒的版本号已经公开,建议立刻检查你的 package-lock.json 和依赖树。这件事最讽刺的地方在于:axios 本身就是用来「安全地收发数据」的,现在它成了数据泄露的通道。

有用户在论坛里吐槽,说自己的自动化部署跑了一年多,从来没想过要锁死 axios 的小版本号——「谁会去怀疑 axios 呢?」