Axios供应链攻击加剧加密钱包风险

Axios 是最流行的 JavaScript 库之一，可能已被攻破并卷入加密钱包攻击。针对 npm 包的攻击日益普遍，直接攻击目标包括项目、开发者和最终用户。. 

Axios 的一个 npm 包被发布到官方 JavaScript 库，但几个小时后就被撤回。链上安全专家拦截了这次攻击，该攻击持续了大约三个小时。. 

@npmjs @GHSecurityLab目前针对 axios@1.14.1 的供应链攻击正在进行，该攻击引入了今天发布的恶意软件包 plain-crypto-js@4.2.1。有人盗用了 Axios 的维护者帐户。

— Maxwell (@mvxvvll) 2026年3月31日

研究人员仍在寻找账户被盗用的迹象，但发现 npm 包是通过 @jasonsaayman 的dent遭到入侵的。受影响的包被dent为 axios@1.14.1 和 axios@0.30.4。.

作为Cryptopolitan 如前所述，npm 攻击通常针对加密钱包，对于拥有大量团队资产的去中心化项目来说风险尤其高。

Axios npm 攻击事件中发生了什么？ 

StepSecurity是最早发现dentdent凭据发布，绕过了GitHub上的正常发布流程。

据 StepSecurity 称，这是针对 npm 排名前十的常用软件包发起的最复杂的攻击。恶意软件包版本注入了一个新的依赖项 plain-crypto-js@4.2.1，该依赖项并未在 axios 源代码中导入。该依赖项会运行一个在所有操作系统上都处于活动状态的安装后脚本。. 

使用 npm 后，客户端会感染远程访问木马投放器，该投放器拥有一个运行中的服务器并会投放恶意载荷。该恶意软件还会删除自身，并将可疑的 .json 文件替换为干净的版本以逃避检测。

哪些类型的项目受到了影响？

npm 包是最受欢迎的包之一，每周下载量高达 1 亿次。然而，目前尚未有未经授权的加密货币转移报告。此前，npm 遭受的攻击仅导致价值 1000 美元的加密货币损失，这些代币并不知名。. 

限制恶意 npm 的唯一方法是 track 个版本，不允许自动升级，或者检查新版本是否存在潜在的恶意上传。. 

这次针对 npm axios 的供应链攻击是新的，npm axios 是最受欢迎的 HTTP 客户端库，每周下载量达 3 亿次。.

扫描系统时，我发现几天前我在测试 Gmail/Gcal CLI 时，从 googleworkspace/cli 导入了一个使用记录。已安装的版本（幸运的是）…… https://t.co/9DOVWH5KK1

— 安德烈·卡帕蒂 (@karpathy) 2026 年 3 月 31 日

研究人员还发现了另外两个以相同方式传播恶意代码的软件包——@shadanai/openclaw 和 @qqbrowser/openclaw-qbot。此次攻击发生在 LiteLLM 恶意代码注入事件一周之后。. 

攻击期间，没有报告显示 Web3 或 OpenClaw 项目受到影响，也没有加密货币被盗。然而，有警告称，通过窃取凭证dentOpenClaw 技能平台的警告。

这些软件包不仅限于 Web3 或机器人项目，还可能影响任何与加密钱包关联的有效载荷。对 Python 的 npm 和 pip 安装方式信任度的下降，也可能削弱人们对整个库生态系统的信任，从而引发对更安全上传路径的呼吁。. 

使用人工智能代理也可能导致随意下载软件包，从而加剧威胁。对加密钱包的实际影响可能不会立即显现，但仍有可能泄露钱包数据。. 

如果你正在阅读这篇文章，你已经领先一步了。订阅我们的新闻简报，继续保持领先优势。