文章总结： 报告披露Axiosnpm包在2026年3月30日遭供应链攻击，攻击者劫持维护者账号发布含恶意依赖plain-crypto-js的版本，通过postinstall钩子释放跨平台RAT。360威胁情报中心通过样本命名、注册表项及基础设施重叠等证据，将事件归因于Lazarus组织（关联GhostCall活动及RustBucket恶意软件），建议参考此前报告进行应急处置并关注附录IOC指标。 综合评分： 87 文章分类： 供应链安全,威胁情报,恶意软件,漏洞分析,应急响应

Axios供应链攻击事件再追踪：线索直指Lazarus组织

高级威胁研究院 高级威胁研究院

360威胁情报中心

2026年4月1日 20:16 北京

此前，我们发布了《Axios npm供应链攻击威胁分析报告》，系统性披露了攻击者劫持维护者账号、在package[.]json中注入“幽灵依赖”plain-crypto-js@4[.]2.1、通过postinstall钩子释放跨平台RAT等核心技术细节，并给出了详细的时间线、IOC指标及应急响应建议，迅速成为行业内重要的参考资料。

本次报告，我们继续对事件进行进一步的追踪披露，并结合360安全大脑的最新威胁情报数据，进一步开展归因分析。

一、概述

axios是一个基于Promise的HTTP客户端，在JavaScript和Node.js 生态系统中被广泛使用。

2026年3月30日，axios遭遇供应链攻击。攻击者成功劫持了维护者账户(jasonsaayman)，在npm官方仓库发布了两个恶意版本（axios@1[.]14.1和axios@0[.]30.4），通过注入恶意依赖plain-crypto-js@4[.]2.1，该包此前并不存在，且从未被axios代码实际导入。其唯一目的是执行一个安装后脚本，该脚本会释放并运行一个针对macOS、Windows和Linux的跨平台远程控制木马（RAT）。恶意版本在npm上存活约3小时后被下架。

结合360安全大脑数据，我们将axios入侵事件与我们跟踪的一起Lazarus组织活动关联起来，二者使用多处相同的命名及相似代码结构。同时，axios入侵事件使用的样本与早期被披露的RustBucket恶意组件存在关联。因此我们认为此次axios入侵事件归属到Lazarus组织。

Lazarus组织长期通过感染npm包的方式进行供应链攻击，依据以往攻击手法，攻击人员预先通过求职/招聘/面试等方式向开发人员投递钓鱼链接/被感染的工程项目，致使开发人员被攻击，随后攻击者再通过窃取开发人员账号发布被污染的工程项目，以实现供应链攻击。

二、归属研判

在我们持续监控Lazarus组织的活动中，该组织发起了一项攻击活动，在该活动中，受害者被从消息平台例如Telegram引诱到会议相关诱饵中，例如Zoom会议，随后下发及诱导执行PowerShell相关脚本从而可以多平台上执行实时命令和窃取凭据。Daylight也披露过同类活动，将其跟踪为GhostCall活动。

在之前攻击活动中，攻击者使用的样本(ea3192f64b9988889d5f8c61be637d2a)名为“c:\programdata\system.bat”,从恶意域名microsmeet[.]xyz和bluyy[.]com下发载荷。经过分析比对axios入侵事件们发现:

• 样本的命名与命令行基本一致;
• 建立的注册表项 Run 项均是MicrosoftUpdate;
• 与Daylight报告披露的Lazarus组织的基础设施一致。

图1 089e2872016f75a5223b5e02c184dfec与ea3192f64b9988889d5f8c61be637d2a样本命令行一致

因此我们以强烈的信心将axios入侵事件与我们持续跟踪的Lazarus组织活动(也称为GhostCall活动)关联起来。

其次，在2023年4月21日的报告中，Jamf Threat Lab披露了名为“RustBucket”的 macOS 恶意软件变种。该报告披露第三阶段载荷(182760cbe11fa0316abfb8b7b00b63f83159f5aa)包含webT模块。

图2 RustBucket样本模块信息

在分析axios入侵事件，我们提取了macOS平台样本的构建信息，可以看出项目名称为macWebT，与上文webT字符串同类。

1. /Users/mac/Desktop/Jain_DEV/client_mac/macWebT/macWebT/
2. /Users/mac/Library/Developer/Xcode/DerivedData/macWebT-hlbytmqtodqtmmfrlgcunsjzzmop/Build/Intermediates.noindex/macWebT.build/Release/macWebT.build/Objects-normal/arm64/main.o (raw binary string)
3. /Users/mac/Library/Developer/Xcode/DerivedData/macWebT-hlbytmqtodqtmmfrlgcunsjzzmop/Build/Intermediates.noindex/macWebT.build/Release/macWebT.build/Objects-normal/x86_64/main.o (raw binary string)

因此，我们认为此次axios入侵事件是Lazarus组织所为。

三、处置建议

参照此前报告：《Axios npm供应链攻击威胁分析报告》

附录 IOCs

kenaikoda[.]com

teams.onlivecall[.]com

23.254.204[.]101:80

3f47643c7a5cbf132f46b4cba75d1aa3

db07741e586bfae526730c592a2ffe6a

ea3192f64b9988889d5f8c61be637d2a

41372946fe231c73750428700f6015fb

360高级威胁研究院

360高级威胁研究院是360数字安全集团的核心能力支持部门，由360资深安全专家组成，专注于高级威胁的发现、防御、处置和研究，曾在全球范围内率先捕获双杀、双星、噩梦公式等多起业界知名的0day在野攻击，独家披露多个国家级APT组织的高级行动，赢得业内外的广泛认可，为360保障国家网络安全提供有力支撑。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：360威胁情报中心 高级威胁研究院 高级威胁研究院《Axios供应链攻击事件再追踪：线索直指Lazarus组织》