文章总结： 本周安全事件凸显基础信任危机：朝鲜黑客攻破Axiosnpm包进行供应链投毒波及8300万周下载量，同时利用Solana的durablenonces功能劫持DriftProtocol达2.85亿美元；CiscoIMC存在认证绕过漏洞可被未授权接管管理员权限。关键发现是攻击者系统性地瞄准被过度信任的底层组件，建议立即排查npm依赖、升级固件、强制浏览器更新并审计管理面暴露风险。 综合评分： 92 文章分类： 供应链安全,漏洞分析,威胁情报,区块链安全,安全运营

[安全周报] 朝鲜黑客一周双杀npm生态和DeFi——你信任的每一行代码都在变成武器

原创

极客零零七 极客零零七

极客零零七

2026年4月6日 06:03 加拿大

极客零零七 · 第13期 · 2026-04-05

一句话总结：Axios npm包被朝鲜黑客投毒波及8300万周下载量、Drift Protocol 2.85亿美元被链上劫持、Cisco IMC一个请求接管管理员——本周的主题是”基础信任的崩塌”：越是你觉得”不会有事”的东西，越是攻击者优先打的。

一周速览

• Axios npm供应链被朝鲜投毒，8300万周下载量沦为RAT分发器（供应链攻击） 3月30日，Axios维护者账号被社工攻破，39分钟内推送两个恶意版本（1.14.1和0.30.4），注入plain-crypto-js依赖，postinstall钩子静默下载跨平台RAT。微软将攻击归因于朝鲜Sapphire Sleet。两小时内下架，但8300万周下载量意味着即便两小时窗口，潜在受害面也是天文数字。你的lockfile锁版本了吗？CI验证SLSA provenance了吗？
• Drift Protocol被掏走2.85亿美元，朝鲜用Solana的便利功能制造年度最大DeFi劫案（加密货币/APT） 攻击者利用Solana的durable nonces——一种允许预签名延迟执行的合法功能——3月11日就开始链上部署，4月1日仅两笔交易、四个区块就劫持了Drift的管理权限。TVL一小时内腰斩，DRIFT代币暴跌40%。Elliptic链上分析指向DPRK关联，若确认将是朝鲜今年第18起加密攻击。一个设计来提升体验的功能，变成了绕过多签安全的武器。
• Cisco IMC认证绕过：一个HTTP请求拿下整台服务器的Admin（漏洞） CVE-2026-20093（CVSS 9.8），Cisco IMC密码变更接口的输入验证缺陷，未认证攻击者可构造HTTP请求修改任意用户密码，包括Admin。影响UCS C/E系列服务器、APIC、Secure Firewall Management Center等大量基础设施。没有临时缓解措施，唯一修复是刷固件。硬件管理层被攻破意味着OS级防护全部失效——这个优先级应该排在任何软件补丁前面。
• Chrome零日CVE-2026-5281在野利用，CISA紧急加入KEV（漏洞/在野利用） Google修复Chrome 21个漏洞，其中Dawn/WebGPU组件的use-after-free（CVE-2026-5281）已被在野利用。图形组件的内存管理漏洞尤其危险——可能突破浏览器沙箱在系统层执行代码。CISA要求联邦机构4月15日前完成修补。企业应确保浏览器策略强制推送更新，开发者和运维的机器尤其容易被忽略。
• 意大利间谍软件厂商SIO伪造WhatsApp iOS版，200名用户中招（监控/间谍软件） WhatsApp通知约200名用户——绝大多数在意大利——他们被诱导安装了一个木马化的WhatsApp iOS版本，可窃取数据、录音、访问摄像头。Meta正对SIO子公司Asigint采取法律行动。意大利已成为欧洲”间谍软件枢纽”，SIO只是Cy4Gate、RCS Lab等一众监控公司中的最新一家。商业间谍软件的产业化正在降低定向监控的门槛。

编辑划重点：本周五条事件中两条直指同一个幕后——朝鲜。Axios供应链投毒是快攻（39分钟窗口撒网），Drift DeFi劫案是慢工（三周潜伏精准收割）。同一周、同一国家行为者、两条完全不同的攻击线同时运行——这不是巧合，这是工业化的网络作战能力。

安全趋势

“太基础了不会有事”——2026年攻击者的选品逻辑

回看本周被打穿的三样东西：Axios——”这只是个HTTP库”；Solana的durable nonces——”这只是个便利功能”；Cisco IMC——”这只是个管理接口”。它们的共同点不是技术复杂度，而是信任等级：都是”太基础了、太底层了、不会有人动它”的组件。

这恰恰是攻击者的选品逻辑。过去几年的趋势已经很清楚：从SolarWinds（网络管理平台）→ Log4j（日志库）→ xz-utils（压缩工具）→ 现在是Axios（HTTP客户端），每一轮供应链攻击的目标都更”平凡”、更底层、更不可能被安全团队主动审计。攻击者在做的事情是系统性地开采信任盲区——不是找漏洞最多的组件，而是找被审计最少的组件。

Drift的案例更值得警惕。durable nonces是Solana的正当功能，设计初衷是让离线签名更方便。但攻击者把”便利”翻译成了”预暗杀”——提前三周签好恶意交易，等待时机一键执行。每一个为”便利”而放松的安全假设，都是攻击者的期权。 这个思维模型不只适用于DeFi：你的企业里有多少”为了方便”而开放的管理接口、保持的长期token、跳过的审批流程？

我的判断：2026年的防御主线不应该是”追漏洞”，而是”审信任”。列出你的组织隐式信任的所有组件和接口——那些”不会有事”的东西——然后逐一验证这个假设。因为攻击者已经在系统性地做同样的事，只不过他们的目标是证明你错了。

本周行动清单

1. npm供应链紧急排查：全局搜索项目中的axios版本，确认未引入1.14.1或0.30.4；lockfile必须锁定精确版本号；评估CI/CD管道是否验证包完整性——8300万周下载量的包都能被投毒，”只用主流包”≠安全
2. Cisco IMC固件升级：盘点所有暴露IMC管理接口的UCS服务器和相关设备，升级至4.3(2.260007)、4.3(6.260017)或6.0(1.250174)；此漏洞无临时缓解，管理层被攻破后一切上层防护归零
3. 浏览器强制更新：CVE-2026-5281已在野利用且进入CISA KEV，确保企业浏览器策略强制推送Chrome最新版，重点关注开发者、运维等高权限人员的更新合规
4. 管理面暴露审计：以Cisco IMC为鉴，排查所有硬件/虚拟化/云管理接口（iLO、iDRAC、vCenter、各云控制台）的网络暴露，管理面绝不应直接面向公网——这是比任何CVE都基础的卫生问题

关注「极客零零七」，每周实战攻防干货。 回复「提权」获取 Windows + Linux 提权速查表 · 回复「AD攻击」获取 AD 域攻击手册

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：极客零零七 极客零零七 极客零零七《[安全周报] 朝鲜黑客一周双杀npm生态和DeFi——你信任的每一行代码都在变成武器》