html
差不多一周前,疑似朝鲜黑客短暂入侵了全球最受欢迎的 JavaScript HTTP 客户端库之一 axios。现在,更多细节浮出水面,揭示了这次入侵是怎么做到的,以及为什么 Windows、macOS 和 Linux 用户都得知道。
这次劫持的起因是黑客黑了 axios 维护者 Jason Saayman 的主账号。这使得他们在 2026 年 3 月 30 日 向 npm(一个可供下载工具的大型公共注册表)发布了两个恶意版本的 axios。
这两批被篡改的版本 axios@1.14.1 和 axios@0.30.4,StepSecurity 很快就发现了,Saayman 在它们发布后大约三小时内便将其移除。
这不是碰运气,是精准操作。 Ashish Kurmi (StepSecurity)
虽然动作挺快,把被篡改的上传包都删了,可axios每周还是有一亿多次下载。这样一来,就很难准确知道到底有多少用户下了那个远程访问木马(RAT)。
Saayman在GitHub上发了篇事故分析博客,详细讲了axios供应链是怎么被黑的,还提到了一些你可以采取的措施,来确保你的电脑(不管是Windows、macOS还是Linux)没有中招。如果你用axios的话,强烈建议你去看看这些步骤,因为这个RAT能从你的系统里偷走敏感凭证。
Microsoft Teams和Slack在axios黑客事件的时间线上是怎么个情况?
TechCrunch跟Google一聊,才发现这事儿跟朝鲜有关。这次攻击被认定是UNC1069干的,这帮人是“专为搞钱的威胁分子”,从2018年就开始玩这招了。
朝鲜黑客在供应链攻击上特别老练,以前经常用这招偷加密货币。这次事件到底有多大还不清楚,不过这个被污染的软件包用的人特别多,我们估计影响会很广。 Google威胁情报集团首席分析师John Hultquist(通过TechCrunch)
故事真正精彩的部分这才开始。据Saayman称,攻击的时间线大概在3月31号前两周,当时"针对主要维护者搞了一场社会工程攻击"。
Saayman在事后分析文章的评论区中透露了更多细节。他解释说,恶意行为者在复制了创始人的长相和公司的一切后,"冒充某公司创始人进行接触"。
随后,Saayman被邀请加入一个Slack工作区,该工作区拥有以假乱真的公司品牌标识、假的LinkedIn帖子转发以及假团队简介。通过Microsoft Teams跟Saayman约好会议后,一个假冒的"漏洞更新"提示安装了一个小插件。
当然,这正是远程访问木马被下载到运维人员电脑上的地方。Teams并没有被攻破;它只是被伪造并用作传播木马的工具。
正如Saayman指出的,“一切都协调得非常好,看起来很正规,而且做得非常专业。”这确实不好对付,任何人被这种精心设计的圈套骗了,都挺让人心疼的。
Axios目前正在调查此次安全漏洞,并寻找防止类似事件重演的方法。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.