打开网易新闻 查看精彩图片

Axios这个JavaScript库你可能没听说过,但肯定用过。它藏在npm下载量前20的榜单里,每周被开发者拉取超过1.83亿次——现在成了朝鲜黑客的投毒目标。

Google威胁情报组GTIG上周发布预警,称监测到一场"活跃的软件供应链攻击"。黑客盯上了Axios的两个旧版本1.14.1和0.30.4,往里面塞了一个叫"plain-crypto-js"的恶意依赖。这东西是个混淆过的投放器,能在Windows、macOS和Linux上部署WAVESHAPER.V2后门。

GTIG给这个后门做了体检:C++写的远程控制工具,能提取系统信息、注入内存执行、跑任意shell命令。他们还抓到PowerShell和Python的变种,说明这套工具链已经迭代过几轮。

朝鲜黑客最近对npm生态的胃口越来越大。上个月他们刚用AI生成的面试视频骗JavaScript开发者,现在又直接对公共包下手。GTIG的原话是:「数十万被盗的密钥可能正在流通」——翻译一下,用这两个版本的企业代码仓库,现在可能正在给平壤的服务器打白工。

Axios官方还没发补丁。GTIG建议开发者锁死版本号,或者干脆切到1.8.2之前的干净版本。一个每周被下载上亿次的库,安全响应的速度还不如黑客投毒的手速,这事本身就挺讽刺的。