新聞 
幣種資訊 
關於我們 
近期「Axios」疑似遭遇「供應鏈攻擊」,為整個 *Web3* 開發環境敲響警鐘。這個每年累積「數億次下載」的核心套件,可能被利用為「惡意程式傳播途徑」,引發開發者與資安社群高度關注。
根據 *Socket Security* 共同創辦人 Feross Aboukhadijeh(以下簡稱「阿布卡迪耶」)的說法,於 24 日(當地時間)發現 *npm* 上的關鍵套件「*Axios*」出現「*供應鏈攻擊*」疑慮。*npm(Node Package Manager)* 作為擁有超過 200 萬個開源 JavaScript 套件的全球最大軟體託管平台,被視為 *Web3* 以及前後端開發的重要基礎設施,一旦遭到入侵,影響層面極廣。
阿布卡迪耶指出,問題集中在最新版本「*[email protected]*」。這個版本會自動安裝一個可疑套件「*[email protected]*」,而該套件恰好在當天才被新建發布,時間點極其可疑,顯示並非正常維護流程,很有可能是「*供應鏈被入侵*」的結果。
阿布卡迪耶將此次事件形容為「*典型的安裝型惡意程式攻擊*」。由於「*Axios*」每週下載量超過 1 億次,任何直接或間接依賴此版本的專案,都可能在安裝階段即被植入風險程式碼。
*Socket* 的 AI 分析顯示,可疑套件內含有經過高度「混淆處理」的程式碼,屬於典型「*Dropper(投放器)*」型惡意程式:
「*Dropper*」本身只是初始載體,真正的用途在於下載、釋放並執行後續的惡意負載。
這段惡意程式碼被發現具備多項隱匿與持久化能力,包括:
- 在執行後自行刪除或更名檔案,增加鑑識追蹤難度
- 將惡意 *payload* 複製到作業系統「暫存資料夾」與 Windows「*ProgramData*」目錄
- 解碼並執行特製「Shell 指令」,以便後續下載更多惡意模組或展開進一步攻擊
評論
這類行為模式與以往多起「加密錢包竊取程式」、「遠端控制木馬」案例類似,若攻擊者進一步鎖定 *Web3 錢包、節點服務或交易機制*,恐對整個鏈上生態造成連鎖衝擊。
目前資安專家建議,所有使用「*Axios*」的開發者應立即採取防禦措施,包括:
- 暫停升級至最新可疑版本「*[email protected]*」
- 將專案現有依賴版本「*固定(pin version)*」,避免自動拉取被污染版本
- 針對 *package-lock.json / yarn.lock* 等「*lockfile*」進行完整稽核,確認未引入可疑套件
- 針對 CI/CD 管線與部署環境進行額外掃描,檢查是否已被植入不明執行檔或腳本
評論
對於 *Web3* 專案而言,這類 *npm* 層級的供應鏈攻擊特別具殺傷力。許多去中心化應用(*dApp*)、錢包前端、節點管理工具都高度依賴開源套件,一個核心套件被污染,可能在短時間內擴散到無數鏈上服務與使用者端。
此次疑似攻擊事件,再次凸顯「*供應鏈安全*」在 *Web3* 與整體軟體產業的重要性。當開發者高度倚賴開源套件與自動化依賴管理時,只要單一關鍵套件遭入侵,就可能形成「*從開發到部署*」的全鏈條風險。未來,不論是傳統軟體團隊還是 *Web3* 開發者,都勢必要強化依賴審查、套件來源驗證與持續安全監控機制,才能在享受開源生態效率的同時,降低成為「下一個受害者」的機率。
留言 0