Axios供應鏈攻擊加劇加密錢包風險

Axios 是最流行的 JavaScript 庫之一，可能已被攻破並捲入加密錢包攻擊。針對 npm 包的攻擊日益普遍，直接攻擊目標包括項目、開發者和最終用戶。. 

Axios 的一個 npm 包被髮布到官方 JavaScript 庫，但幾個小時後就被撤回。鏈上安全專家攔截了這次攻擊，該攻擊持續了大約三個小時。. 

@npmjs @GHSecurityLab目前針對 axios@1.14.1 的供應鏈攻擊正在進行，該攻擊引入了今天發佈的惡意軟件包 plain-crypto-js@4.2.1。有人盜用了 Axios 的維護者帳戶。

— Maxwell (@mvxvvll) 2026年3月31日

研究人員仍在尋找賬戶被盜用的跡象，但發現 npm 包是通過 @jasonsaayman 的dent遭到入侵的。受影響的包被dent爲 axios@1.14.1 和 axios@0.30.4。.

作爲Cryptopolitan 如前所述，npm 攻擊通常針對加密錢包，對於擁有大量團隊資產的去中心化項目來說風險尤其高。

Axios npm 攻擊事件中發生了什麼？ 

StepSecurity是最早發現dentdent憑據發佈，繞過了GitHub上的正常發佈流程。

據 StepSecurity 稱，這是針對 npm 排名前十的常用軟件包發起的最複雜的攻擊。惡意軟件包版本注入了一個新的依賴項 plain-crypto-js@4.2.1，該依賴項並未在 axios 源代碼中導入。該依賴項會運行一個在所有操作系統上都處於活動狀態的安裝後腳本。. 

使用 npm 後，客戶端會感染遠程訪問木馬投放器，該投放器擁有一個運行中的服務器並會投放惡意載荷。該惡意軟件還會刪除自身，並將可疑的 .json 文件替換爲乾淨的版本以逃避檢測。

哪些類型的項目受到了影響？

npm 包是最受歡迎的包之一，每週下載量高達 1 億次。然而，目前尚未有未經授權的加密貨幣轉移報告。此前，npm 遭受的攻擊僅導致價值 1000 美元的加密貨幣損失，這些代幣並不知名。. 

限制惡意 npm 的唯一方法是 track 個版本，不允許自動升級，或者檢查新版本是否存在潛在的惡意上傳。. 

這次針對 npm axios 的供應鏈攻擊是新的，npm axios 是最受歡迎的 HTTP 客戶端庫，每週下載量達 3 億次。.

掃描系統時，我發現幾天前我在測試 Gmail/Gcal CLI 時，從 googleworkspace/cli 導入了一個使用記錄。已安裝的版本（幸運的是）…… https://t.co/9DOVWH5KK1

— 安德烈·卡帕蒂 (@karpathy) 2026 年 3 月 31 日

研究人員還發現了另外兩個以相同方式傳播惡意代碼的軟件包——@shadanai/openclaw 和 @qqbrowser/openclaw-qbot。此次攻擊發生在 LiteLLM 惡意代碼注入事件一週之後。. 

攻擊期間，沒有報告顯示 Web3 或 OpenClaw 項目受到影響，也沒有加密貨幣被盜。然而，有警告稱，通過竊取憑證dentOpenClaw 技能平臺的警告。

這些軟件包不僅限於 Web3 或機器人項目，還可能影響任何與加密錢包關聯的有效載荷。對 Python 的 npm 和 pip 安裝方式信任度的下降，也可能削弱人們對整個庫生態系統的信任，從而引發對更安全上傳路徑的呼籲。. 

使用人工智能代理也可能導致隨意下載軟件包，從而加劇威脅。對加密錢包的實際影響可能不會立即顯現，但仍有可能泄露錢包數據。. 

如果你正在閱讀這篇文章，你已經領先一步了。訂閱我們的新聞簡報，繼續保持領先優勢。