堆代码讯 近日，一名黑客劫持了一款被全球开发者广泛使用的开源软件开发工具，植入了可远程控制设备的恶意软件，这一攻击可能让数百万开发者面临系统被入侵的风险。周一，这名黑客推送了恶意版本的 Axios，这是一款在 JavaScript 生态中被广泛使用的网络请求库，全球的开发者都依靠它来实现软件与互联网的连接。受影响的代码托管在 npm 平台上，这是开源项目最核心的代码存储仓库之一，而 Axios 本身的下载量极高，每周的下载次数就达到了数千万次，是整个开发行业的基础工具之一。

根据负责分析此次攻击的安全公司 StepSecurity 的说法，此次劫持行为在周一夜间到周二凌晨的大约三小时内，就被安全人员发现并阻止，恶意版本的库已经被紧急下架。不过，在这短短三小时的窗口中，已经有部分开发者下载到了被篡改的代码。目前，安全人员还无法确认，到底有多少用户下载了这个恶意版本的 Axios。同样参与调查的安全公司 Aikido 发出了严重警告：任何下载了这份被篡改代码的人，“都应当假设自己的系统已经被入侵”，需要立刻进行全面的安全排查。

此次攻击的方式，是典型的开源项目供应链攻击：黑客通过入侵 Axios 项目的一名核心开发者的账户，获得了推送版本更新的权限，从而得以将恶意代码植入到官方的代码库中。为了阻止原开发者快速找回账户，黑客还将该账户中原本的开发者邮箱，替换成了自己的邮箱，大幅增加了原所有者恢复权限的难度。

在控制了开发者账户后，黑客植入了专门的恶意代码，其本质是一款远程访问木马，一旦安装，黑客就可以获得对受害者电脑的完全远程控制权。随后，黑客将这份恶意代码打包成了 Axios 的新版本，伪装成面向 Windows、macOS 和 Linux 全平台的正常更新，推送给了所有用户。更棘手的是，安全研究人员发现，黑客还为这款恶意软件设计了躲避检测的机制：在恶意代码完成安装后，它会自动删除自身的相关文件，试图以此躲过反恶意软件引擎的扫描，以及安全调查人员的排查，增加了后续溯源和清理的难度。

近年来，这类针对开源工具的供应链攻击正在变得越来越频繁。黑客不再直接攻击普通用户，而是将目标对准那些被全行业广泛依赖的开源项目或中间软件，一旦成功入侵，就可以一次性攻击所有使用该工具的下游用户，实现大规模的入侵。此前，黑客就曾针对 3CX、Kaseya、SolarWinds 等企业，以及 Log4j、[Polyfill.io](Polyfill.io) 等开源工具发起过同类攻击，引发了全球范围的安全危机。