axios这名字前端开发者太熟了——每周3亿次下载,比麦当劳汉堡卖得还稳。但就在上周,这个「基础设施级」的库被人动了手脚,攻击者把恶意代码塞进1.8.2版本,专门偷浏览器里的cookie和授权token。

供应链攻击玩的是「借刀杀人」。攻击者没黑你的服务器,而是黑了你信任的依赖库。开发者npm install时一切正常,代码里却藏着一段base64编码的payload,运行后会把敏感数据发往境外域名。换句话说,你的用户登录态、后台权限,可能已经被打包发走了。

axios团队发现后紧急回滚,发布声明称「1.8.2版本被植入恶意代码,请立即降级至1.8.1」。但问题在于:很多项目里的axios版本是自动更新的,开发者甚至不知道自己跑的是毒版本。GitHub上已有用户反馈,称CI流水线在周末自动拉取了1.8.2,周一排查日志才发现异常请求。

这不是npm第一次中招。2022年colors库作者故意破坏代码,2024年xz-utils后门潜伏三年才被发现。axios比它们更危险——它太普通了,普通到没人会怀疑。就像你每天喝的水龙头水,没人想到要去化验。

目前npm官方已下架1.8.2,但攻击者用的域名还在解析。有安全研究员扒出,该域名注册于三个月前,专门蹲守高星开源项目。axios维护者在最新commit里加了一条注释:「我们仍在调查入侵路径。」