永信至诚「数字风洞」安全团队监测到一起Node.js供应链投毒事件。攻击者向npm仓库上传了axios的两个恶意版本(1.14.1和0.30.4),这些版本在安装时会自动拉取恶意依赖包[email protected]。无论是开发者手动安装还是通过 AI 编程工具,均会触发该恶意依赖。
Axios 是基于 Promise 的 HTTP 网络请求库,用于浏览器和 Node.js。Axios 体积非常小,提供了一个简单易用的库,具有易于扩展的接口。 近日 Axios 发布的 1.1.0 版本更新在推送给用户后,由于包含损坏,导致数千个网站瘫痪。 根据用户提交的 issue,在 Axios v1.1.0 中 ...