文章总结： 文档分析了2026年3月Axios恶意软件包攻击事件，指出攻击者通过社工手段获取维护者凭证后手动发布带木马的版本。关键发现是恶意版本在npm元数据中缺少自动化流程标记（如受信任发布者信息、关联提交记录），但人工检查依赖树不现实。建议在安装时自动验证软件包发布来源一致性，可即时拦截此类供应链攻击。 综合评分： 75 文章分类： 漏洞分析,供应链安全,恶意软件,安全开发,威胁情报

30 秒的元数据如何就能发现 Axios 攻击

Ots安全

2026年6月14日 19:25 广东

在小说阅读器读本章

去阅读

威胁简报

恶意软件

漏洞攻击

2026年3月31日，两个恶意axios版本存活了约3个小时，每个全新安装axios的机器上都存在一个远程访问木马（RAT）。然后，情况发生了转变——问题信号其实一直存在于公共注册表元数据中。

发生了什么：

事实主线，言简意赅。维护者的电脑通过社交工程和远程访问木马（RAT）被入侵，npm 凭据被盗，版本 1.14.1 和 0.30.4 被手动发布，恶意依赖项引入了跨平台木马。

所有人都视而不见的信号灯：

合法的 axios 版本通过自动化流水线发布，该流水线会在注册表中添加受信任发布者信息块，并将版本号与特定的提交关联起来。恶意版本则没有这些步骤——手动推送令牌、没有匹配的流水线运行、没有仓库标签。实际的注册表字段包括（_npmUser、受信任发布者/来源信息块、gitHead）。

为什么没人及时发现：

令人尴尬的是：事后看来，这个检查显而易见，但几乎没有人能及时完成。

想想手动捕获这个问题到底需要多少工作。每次运行 npm install 时，你都需要拉取 axios 的注册表元数据——以及它所有依赖项及其所有依赖项的注册表元数据，一直向下追溯整个依赖树。对于每个依赖项，你都需要将发布者与该软件包的正常发布流程进行比较，查找匹配的提交，并检查来源信息块是否存在且一致。然后，在下次安装时，你还得重复这个过程，因为昨天还是干净的版本，今天可能又被重新发布了。

没有人会这么做。这并非因为开发者粗心大意，而是因为手动操作在结构上根本不可能。一个现代项目通常包含成百上千个传递依赖项。恶意 axios 版本上线时间仅约三小时——比任何人工审核周期都快，而且大多数受害者当时并没有进行任何审核工作。他们运行了安装程序，或者说是持续集成 (CI) 作业运行了安装程序，在任何人来得及检查之前，木马就已经生效了。

这才是问题的真正本质。信号是公开的，检查成本低廉，而且以纯 JSON 格式存储。问题不在于知识匮乏，而在于没有人将这项至关重要的检查自动化，并将其添加到安装路径中。

实际上真正有效的方法是：

归根结底，原则很简单：在安装时自动运行来源不匹配检查，可以在执行任何一行软件包代码之前标记出此类攻击。

这个逻辑很简单，一句话就能概括。对于即将安装的每个软件包版本，都要检查它是否按照通常的发布方式发布——通过其既定的自动化流程，并具有匹配的源代码提交记录和一致的来源记录。如果一个总是通过已验证的流程发布的软件包突然通过手动推送令牌的方式出现，且没有相应的提交记录，这并非偶然。这是一个信号。必须立即停止安装，并在安装继续进行之前将此问题反馈给开发者。

在 Axios 版本上运行，该检查会立即触发。恶意版本 1.14.1 不具备合法 Axios 版本所带有的任何来源指纹。它本应在安装前半秒钟就被标记出来，而不是在三个小时后的事后分析中才被发现。

我想明确一下这个结论的适用范围，因为精确性至关重要。这项检查可以捕获这类攻击：窃取的凭证被用于在正常流程之外发布内容。它在这方面非常有效，而且这类攻击也很常见。但这并非万能的解决方案。还有一种更复杂的情况——恶意软件包附带完全合法的来源信息，因为流程本身已被篡改。这种情况打破了这项检查所依赖的假设。这种情况已经发生过，这也是我接下来要讨论的内容。

要点

这次axios攻击的复杂程度并不高，关键就在这里。恶意版本在发布之初就在注册表元数据中暴露出来——发布者错误、没有匹配的提交记录、缺少来源信息。任何稍加留意的人都能发现这些问题。

之所以有效，是因为在现代依赖关系树所需的速度和规模下，人工查看依赖关系树是不可能的。检查成本很低，只需将其自动化，并默认启用，将其添加到每个安装程序的路径中即可。问题就出在这里——而且这个问题是可以解决的。

END

公众号内容都来自国外平台-所有文章可通过点击阅读原文到达原文地址或参考地址

排版 编辑 | Ots 小安

采集 翻译 | Ots Ai牛马

公众号 | AnQuan7 (Ots安全)

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Ots安全 《30 秒的元数据如何就能发现 Axios 攻击》