安全研究机构StepSecurity近日披露,知名Java库Axios的两个npm版本——axios@1.14.1和axios@0.30.4,遭黑客植入恶意代码。此次攻击通过劫持核心维护者“jasonsaayman”的npm账号实施,黑客将账号邮箱替换为匿名ProtonMail地址后,绕过GitHub Actions自动化流程,手动发布了被污染的版本,并通过npm CLI直接上传恶意安装包。
恶意代码并未直接修改Axios源码,而是通过注入虚假依赖包“plain-crypto-js@4.2.1”实现攻击。该依赖包在代码中从未被引用,仅在安装时通过postinstall脚本自动执行恶意操作。为规避检测,攻击者提前18小时发布了两个伪装包:plain-crypto-js@4.2.0作为干净版本掩护,而4.2.1版本则携带恶意代码,利用前者的存在降低被安全工具标记的风险。
当开发者运行“npm install axios”命令时,恶意依赖包会自动安装并触发setup.js脚本。该脚本会连接远程服务器,根据操作系统类型下载并执行恶意程序:在macOS系统中,恶意程序伪装成系统文件藏匿于/Library/Caches/com.apple.act.mond目录;在Windows系统中,程序通过定位PowerShell路径,将自身复制到%PROGRAMDATA%wt.exe目录并伪装成终端可执行文件;Linux系统则通过Node.js的execSync直接运行/tmp/ld.py脚本,并使用nohup保持后台运行。
攻击完成后,恶意程序会删除setup.js和package.json文件,并用纯净版本替换相关依赖,使开发者在检查node_modules目录时难以发现异常。例如,Windows系统中的恶意操作还包括通过VB脚本创建隐藏的cmd.exe窗口,将PowerShell木马脚本保存至%TEMP%6202033.ps1路径;Linux系统则通过后台进程持续运行木马脚本。
开发者可通过“npm list axios”命令检查当前使用的Axios版本,并使用“ls node_modules/plain-crypto-js”确认是否被植入恶意依赖。若设备已感染,建议立即重装系统,更换npm令牌、云服务密钥及SSH密钥等凭证,同时全面检查CI/CD流水线是否存在安全隐患。
