供應鏈攻擊的威力
近日,廣受全球開發者使用的 JavaScript HTTP 客戶端庫 Axios 遭受嚴重供應鏈攻擊。攻擊者成功竊取了 Axios 首席維護者的長期 npm 存取權杖(Access Token),並利用該權杖發布了兩個包含惡意程式的毒化版本。這些版本在被刪除前,於 npm 註冊中心存在了約三個小時。
影響範圍與危害
Axios 是網際網路基礎設施中的關鍵組成部分,每週下載量超過 1 億次。根據資安公司 Wiz 的報告,Axios 的身影遍佈約 80% 的雲端運算與代碼開發環境。這意味著,此次惡意版本一旦被自動化流程抓取並部署,攻擊者便能透過該遠端存取木馬(RAT)對 macOS、Windows 與 Linux 作業系統進行完全控制。
企業級資安啟示
這一事件再次敲響了「供應鏈安全」的警鐘。在現代軟體開發中,自動化地將第三方套件整合進生產環境已成為標準,但這也為攻擊者提供了一條捷徑。只要滲透單一關鍵庫的維護者權限,便能直接癱瘓全球數以萬計的雲端架構。
目前,企業資安團隊最緊迫的任務是盤點其軟體供應鏈中對 Axios 的依賴程度,並檢查是否存在這段期間內被意外升級至惡意版本的漏洞。此事件凸顯了依賴單一核心套件的風險,未來企業開發框架勢必將加強對於第三方庫的審核與鎖定機制(Locking Mechanisms),以避免類似的災難重演。