axios 维护者账号遭劫持：npm 恶意版本注入远程控制木马

问题描述：

image1253×691 133 KB
image1920×1360 497 KB
image1920×1281 242 KB
image1920×1245 326 KB
image1920×1331 322 KB
image1920×1140 256 KB
image2110×1206 328 KB
image1920×1276 358 KB
image2036×774 157 KB
image1920×1123 303 KB
image2104×547 236 KB
完整版请看 axios Compromised on npm - Malicious Versions Drop Remote Access Trojan - StepSecurity

网友解答：

---

--【壹】--：

佬，这种是AI直接检测出来的吗？还是安装了skills或者MCP

---

--【贰】--：

最近一直在玩Python，做GUI程序，没怎么玩过Node.js，应该没问题。

---

--【叁】--：

公司项目应该不影响，都是古董版本，舍不得升级
image1073×232 7.59 KB

---

--【肆】--：

那个litellm我也没中招，我用最多的就是requests、nuitka、pyinstaller、wxpython、pyside6，httpx这些，最多就是有一个老版本的openai库，都是去年的了，所以我完美躲过了。

---

--【伍】--：

---

--【陆】--：

怎么最近投毒这么多的

---

--【柒】--：

前端很多都用axios ，那覆盖的项目有点多了。回去查查。

---

--【捌】--：

我去，axios都被投毒了，这个影响面有点大了，回家检查一下版本号

---

--【玖】--：

还好我们版本老到可怕

---

--【拾】--：

我去前两天apifox，又来个axios……

---

--【拾壹】--：

没想到npm都被污染了，第一次觉得病毒离我这么近

---

--【拾贰】--：

有个疑问，这个有这么容易被盗号吗？？会不会是作者自己投毒

---

--【拾叁】--：

老有老的好处

---

--【拾肆】--：

那是 1.14 佬

---

--【拾伍】--：

凭证是如何泄露的呢?

---

--【拾陆】--：

其实py的供应链投毒也不比nodejs少 前段时间的litellm

---

--【拾柒】--：

太害怕了，吓得我检查了一下我的axios版本，差一点，就差那么一点点

---

--【拾捌】--：

前排吃大瓜

---

--【拾玖】--：

坏了 这下AI真比我自己靠谱了

感觉如果今天是我自己装的话100%中招

IMG_0137719×158 6.34 KB