全球無數前端與後端工程師都在使用的知名 HTTP 用戶端函式庫 Axios,近期竟驚傳遭到駭客攻擊 !根據資安研究單位的最新通報,NPM 平台上的 Axios 軟體庫遭到不明人士挾持,駭客疑似取得了開發者的管理員帳號與密碼,並悄悄發布了兩個夾帶惡意程式碼的版本:axios@1.14.1 以及 axios@0.30.4 。這起事件引發了全球開發社群的強烈關注,因為一旦中招,伺服器可能就會門戶大開。
暗藏玄機的供應鏈攻擊:假依賴、真木馬
這起攻擊手法相當狡猾。駭客並沒有直接在 Axios 的主程式碼中動手腳,而是透過暗渡陳倉的方式,在這兩個被污染的版本中偷偷注入了一個名為 plain-crypto-js@4.2.1 的隱藏依賴套件 。這意味著,當開發者在不知情的情況下執行安裝指令時,系統就會自動將這個夾帶後門程式的套件一併下載安裝,最終導致系統被植入遠端存取木馬 。
Axios 作為全球最受歡迎的 JavaScript HTTP 函式庫之一,每週的下載量高達驚人的 3 億次以上 。這龐大的基數讓這次投毒事件的潛在受害者數量難以估計。資安專家警告,任何在 3 月 31 日前後執行過 npm install 或 npm update 指令的專案,只要鎖定到了上述兩個帶毒的特定版本,系統就有極高的機率已經被植入了遠端木馬 。
目前,NPM 官方平台已經緊急介入,並從軟體庫中徹底刪除了這個夾帶後門的惡意依賴套件 。然而,令人擔憂的是,Axios 專案的主要開發團隊至今尚未對外做出正式回應,外界仍不清楚管理員帳號究竟是如何外洩的,也不確定開發團隊是否已經完成了必要的安全漏洞修補與補救措施 。
緊急應變指南:六步驟確認專案是否安全
針對這起嚴重的資安危機,安全機構 Step Security 發布了詳細的安全建議,呼籲所有開發者立即採取以下行動 :
第一,立即降級版本:根據專案需求,立刻將 Axios 降級回到安全的 1.14.0 版或 0.30.3 版,並強烈建議使用 overrides 等設定來強制鎖定安全版本 。
第二,移除惡意依賴:在終端機輸入 rm -rf node_modules/plain-crypto-js && npm install --ignore-scripts 來清除有問題的套件 。
第三,檢查感染狀況:透過指令 npm list axios | grep -E"1.14.1|0.30.4" 來觀察輸出結果,確認專案是否使用了帶毒版本 。
第四,掃描可疑檔案:檢查系統中是否存在特定檔案,例如 macOS 用戶請檢查 /Library/Caches/com.apple.act.mond,Linux 用戶則須留意 /tmp/ld.py 。
第五,強化防禦機制:在未來的 CI/CD 流程中,強制加入 --ignore-scripts 參數,並在防火牆中封鎖 sfrclak.com 網域以及 142.11.206.73 這個 IP 位址 。
第六,全面更換金鑰:為了確保最高級別的安全性,建議開發者立即更換所有的金鑰,若評估有必要,甚至應該考慮徹底重建開發或正式環境 。
軟體供應鏈安全不容忽視
過去我們也曾見過多次類似的開源軟體投毒事件,這再次突顯了軟體供應鏈安全的脆弱性。開發者為了求快、求方便,往往會無條件信任 NPM 等大型套件管理平台上的熱門專案。然而,一旦這些居於金字塔頂端的底層函式庫被攻破,災情往往是毀滅性的。在享受開源生態系便利的同時,企業與開發團隊也必須建立更嚴格的套件審查機制與自動化資安掃描,才不會在不知不覺中,親手將木馬迎進了自家主機。
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!