文章总结： Axios维护者npm账户遭盗用后推送恶意版本，攻击者通过混淆投放器部署跨平台远程访问木马，使用XOR+Base64编码隐藏C2通信。恶意载荷涵盖macOS、Windows和Linux系统，其中Windows通过注册表实现持久化。基础设施分析显示与TA444/BlueNoroff等APT组织关联，建议及时检查依赖版本并监控异常网络连接。 综合评分： 78 文章分类： 供应链安全,恶意软件,漏洞预警,威胁情报,WEB安全

深入剖析 Axios 攻击：混淆式投放器、跨平台远程访问木马以及 TA444/BlueNoroff 关联

Ots安全

2026年4月2日 10:54 广东

威胁简报

恶意软件

漏洞攻击

Axios 维护者 jasonsaayman 的 npm 账户被盗用，并被用于推送两个恶意版本。每周下载量高达 3700 万次。从 npm install 到启动远程控制木马 (RAT) 并向其主服务器发送信标，整个过程不到两秒，且不留任何痕迹。

以下是Hunt.io发现的情况：

• 攻击者首先部署了干净的 plain-crypto-js，然后在 18 小时后通过混淆的安装后投放器推送了一个恶意版本。

• Dropper 使用 XOR + 反向 Base64 编码，密钥为“OrDeR_7077”，以隐藏 C2 URL、导入语句和完整的有效载荷脚本。

• 三个平台特定的远程访问木马：macOS 专用的编译型 C++ Mach-O、Windows 专用的无文件 PowerShell、Linux 专用的仅 Python 标准库版本

-单个 C2 在 sfrclak(.)com:8000 通过 POST 请求体路由有效负载

• macOS 版本通过临时代码签名绕过 Gatekeeper

• 唯一一个通过注册表运行项“MicrosoftUpdate”实现持久化的操作系统是 Windows。

• 由于未定义变量的错误，Linux peinject 功能失效，证实了从 Windows 代码库仓促移植的缘故。

• 基础设施枢纽通过共享 ETag 将 C2 与 #TA444 / #BlueNoroff 连接起来，该 ETag 与已记录的 #DPRK 服务器、与已确认的 #Lazarus 基础设施相同的 Hostwinds AS54290 子网以及 #NukeSped 恶意软件分类关联起来。

完整的分析报告（点击阅读原文）：

https://hunt.io/blog/axios-supply-chain-attack-ta444-bluenoroff

END

公众号内容都来自国外平台-所有文章可通过点击阅读原文到达原文地址或参考地址

排版 编辑 | Ots 小安

采集 翻译 | Ots Ai牛马

公众号 | AnQuan7 (Ots安全)

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Ots安全 《深入剖析 Axios 攻击：混淆式投放器、跨平台远程访问木马以及 TA444/BlueNoroff 关联》