知名 JavaScript 开源库 Axios 遭到疑似来自朝鲜的黑客组织(UNC1069)劫持。攻击者通过入侵核心开发者的账户,向该项目植入恶意代码,发布了包含远程访问木马(RAT)的更新版本。由于 Axios 每周下载量达数千万次,此次供应链攻击对全球开发者构成了重大威胁,受影响的系统涵盖 Windows、macOS 和 Linux。
攻击路径:从个人账户到全球用户
黑客并非通过技术漏洞硬闯,而是采用了极具破坏力的供应链攻击策略:
- 开发者账户劫持:攻击者控制了一名拥有发布权限的核心开发者账户。
- 修改访问权限:黑客更换了账户关联的邮箱,导致合法开发者在短时间内无法夺回控制权。
- 发布伪装更新:在控制账户的三个小时内,黑客向 npm 仓库推送了看似正常的恶意版本。
核心威胁:远程控制与深度隐匿
此次植入的恶意软件不仅仅是简单的脚本,而是功能完善的远程访问木马:
- 全平台覆盖:恶意负载专门针对 Windows、macOS 和 Linux 操作系统进行了定制。
- 完全控制权:一旦运行,黑客即可远程操控受害者的计算机。
- 自毁机制:为了逃避安全工具的检测,恶意软件在安装完成后会自动删除自身及相关代码,令事后取证变得异常困难。
任何在周一晚间至周二凌晨下载或更新了受影响版本的用户,都应直接假定其系统已处于被入侵状态。
行业影响与背景
Axios 是现代互联网开发的基石之一,其庞大的用户基数使得此类攻击具有极高的“投资回报率”:
- 信任链崩塌:开发者通常自动信任知名开源项目的更新,这种信任被黑客转化为攻击的温床。
- 国家背景支持:谷歌安全团队(UNC1069)指出,朝鲜黑客此前曾多次利用类似手段窃取加密货币。
- 波及范围广:虽然攻击仅持续了三小时,但考虑到 Axios 的流行程度,其潜在的长尾效应依然难以估量。
此次事件再次证明,开源软件的安全性不仅仅取决于代码本身,更取决于维护这些代码的“人”以及支撑整个生态系统的账户安全机制。