夜雨聆风周下载了过亿的HTTP请求库Axios被投毒,影响面巨大!
事件概述
2026年3月31日,知名HTTP客户端库Axios(npm每周下载量达1亿次)遭遇供应链攻击。攻击者在依赖项plain-crypto-js@4.2.1中植入远控木马(RAT),影响axios@1.14.1和axios@0.30.4版本。
攻击机制
恶意软件采用双层编码混淆技术规避检测:第一层为反转Base64(用下划线替代等号填充),第二层为XOR加密(密钥OrDeR_7077)。攻击流程为:npm install → postinstall钩子 → node setup.js → 操作系统检测 → 平台特定载荷投递 → 自删除。
平台特定payload
1.【macOS平台】下载二进制至/Library/Caches/com.apple.act.mond,伪装成Apple系统守护进程。
2.【Windows平台】将PowerShell复制为%PROGRAMDATA%\wt.exe(伪装成Windows Terminal),配合VBScript启动器。
3.【Linux平台】下载Python脚本至/tmp/ld.py,通过nohup python3执行。
恶意功能
macOS RAT具备:生成16字符唯一受害者ID、系统指纹采集(主机名、用户名、macOS版本、时区、CPU、进程),每60秒向C2服务器HTTP POST回传数据,支持命令包括:peinject(注入二进制)、runscript(执行shell/AppleScript)、rundir(目录枚举)、kill(终止进程)。
恶意地址
C2域名:sfrclak[.]com
C2 IP:142.11.206.73
C2 URL:http://sfrclak[.]com:8000/6202033
处置建议
1. 立即检查package.json和package-lock.json是否包含受影响版本
2. 确认feature分支和开放PR中是否存在恶意版本
3. 如发现感染,立即回滚至axios@1.14.0或axios@0.30.3
4. 检查系统是否存在对应IOC文件
(如/Library/Caches/com.apple.act.mond)
5. 禁止对应的C2恶意地址
加好友进群听直播
