Slow Fog 警告开发者警惕恶意axios版本植入plain-crypto-js木马，通过npm使加密开发者面临跨平台远控木马及凭证泄露风险。

• Slow Fog标记[email protected]和[email protected]为恶意版本，此前维护者账户遭入侵
• 被注入的[email protected]包通过postinstall脚本部署跨平台远控木马
• 由于npm已将axios回滚至1.14.0版本，使用过[email protected]的开发者需立即轮换凭证并检查主机

区块链安全公司Slow Fog发布紧急安全警报，最新发布的[email protected]和[email protected]版本植入恶意依赖项[email protected]，致使这个JavaScript生态最流行的HTTP客户端沦为针对加密开发者的供应链武器。axios在npm上的周下载量超8000万次，意味着即使短暂入侵也可能波及基于Node.js构建的钱包后端、交易机器人、交易所及DeFi基础设施。Slow Fog在公告中警告"通过npm install -g安装[email protected]的用户可能已受影响"，建议立即轮换凭证并彻底检查主机是否存在入侵痕迹。

此次攻击利用伪造的加密包[email protected]，该包被静默添加为新依赖项，其唯一用途是执行混淆的postinstall脚本以部署针对Windows、macOS和Linux系统的跨平台远控木马。

安全公司StepSecurity解释称"两个恶意版本在axios本体中均未包含恶意代码"，而是"注入了伪造依赖项[email protected]，其唯一目的是运行部署跨平台远控木马（RAT）的postinstall脚本"。Socket研究团队指出，恶意plain-crypto-js包在受污染axios版本发布前数分钟才上传，称这是针对JavaScript生态的"协同供应链攻击"。

据StepSecurity披露，攻击者使用主要维护者"jasonsaayman"被盗的npm凭证发布恶意axios版本，绕过了项目常规的GitHub发布流程。安全工程师Julian Harris在LinkedIn写道："这是[email protected]的实时供应链攻击，该版本新增对[email protected]的依赖——这个数小时前发布的包已被确认为执行Shell命令并清除痕迹的混淆恶意软件。"npm现已移除恶意版本并将axios回退至1.14.0，但在攻击窗口期内拉取过1.14.1或0.3.4版本的环境，在轮换密钥并重建系统前仍处于风险中。

此次事件与早年直接针对加密用户的npm攻击如出一辙，包括2025年chalk、debug等18个流行包静默替换钱包地址盗取资金的事件，当时Ledger首席技术官Charles Guillemet警告称"受影响包的下载量已超10亿次"。研究人员还记录过从以太坊、XRP和Solana钱包窃取密钥的npm恶意软件，SlowMist估算仅2025年上半年，包括后门包和AI辅助供应链攻击在内的加密黑客与欺诈就造成超23亿美元损失。Slow Fog当前建议直截了当：降级axios至1.14.0版本，审计依赖项中是否含[email protected]或openclaw痕迹，并默认相关环境接触过的所有凭证均已泄露。

在crypto.news早前关于JavaScript供应链攻击的报道中，Ledger的Guillemet警告称周下载量超20亿次的受污染npm包对基于Node.js构建的dApp和钱包构成系统性风险。另一篇报道详述朝鲜Lazarus集团如何植入恶意npm包后门开发环境以针对Solana和Exodus钱包用户。第三代crypto.news关于新型恶意软件的报道则揭示，通过npm和低成本AI工具实施的供应链后门攻击，已让犯罪分子远程控制超4200台开发机器并造成数十亿美元加密资产损失。