Ai总结： 两个被篡改的Axios npm版本因植入恶意依赖包，导致全球开发者系统面临严重威胁。安全机构警告，受影响环境应视为已失陷，需立即更换所有敏感凭证。

恶意Axios包波及数万项目，开发者须紧急响应

在知名JavaScript HTTP库Axios遭遇供应链污染后，两个恶意版本[email protected]与[email protected]被证实包含可执行远程代码的恶意组件，促使全球开发团队迅速采取防御措施。

恶意依赖自动激活，渗透路径隐蔽难察

网络安全公司Socket首次披露该事件，指出被污染的Axios版本引入了[email protected]这一伪装性依赖项。该模块在安装阶段通过配置脚本自动运行，无需用户交互即可完成攻击部署，其行为特征与典型供应链投毒高度一致。

OX Security分析认为，攻击者可能借此获取受感染设备的控制权，进而窃取登录凭据、加密密钥及钱包信息等核心数据。由于Axios广泛用于各类前端与后端应用，此次事件可能影响成千上万的关联项目。

全面清查依赖链，强制凭证轮换

OX Security明确要求所有使用过受影响Axios版本的组织，将相关系统视作已被攻陷，并立即更新包括API密钥、会话令牌在内的全部认证信息。

Socket建议开发者深入审查项目依赖文件，识别是否引入了问题版本及其关联的恶意包，并尽快回退至官方维护的安全版本，以阻断潜在攻击面。

开源生态安全警钟再响：从信息泄露到资产盗取

近期多起加密领域安全事故揭示，供应链攻击正从窃取开发者资料演变为直接造成用户资金损失。1月3日，链上分析师ZachXBT报告称，针对以太坊兼容链的大规模攻击中，数百个钱包遭遇小额资产转移。

研究人士Vladimir S.指出，此事件或与去年12月爆发的Trust Wallet漏洞有关，该漏洞使超2500个钱包遭受约700万美元损失。后者官方确认，问题根源在于其开发流程中使用的npm包遭到供应链劫持，凸显当前开源工具链的深层风险。