事件概述2026 年 3 月 31 日，著名云安全平台 StepSecurity 监测到，在 JavaScript 生态系统中最受欢迎的 HTTP 客户端库 Axios（每周下载量超 3 亿次）遭遇了严重的供应链攻击。攻击者劫持了 Axios ...

今日，Axios这个年下载量超36亿、JavaScript 生态最核心的依赖之一，在 npm ...

2026年3月31日，两个恶意版本的流行JavaScript HTTP库Axios被短暂发布到npm仓库。这两个版本均包含隐藏依赖项，可在macOS、Windows和Linux系统上安装远程访问木马（RAT）。此次攻击并未利用Axios代码本身的漏洞 ...

IT之家 3 月 31 日消息，安全研究机构 StepSecurity 昨天发文称，主流 JavaScript 库 Axios 的两个 npm 版本 axios@1.14.1、axios@0.30.4 被恶意植入远程控制代码。

广受欢迎的Axios HTTP客户端库近期遭到黑客攻击，通过被入侵账户传播恶意软件。攻击者利用npm包管理器上被劫持的账户分发恶意代码，影响两个软件包并安装远程访问木马，可控制Windows、macOS和Linux系统。该库每周下载量近3亿次，攻击者精心策划18小时并预建三个操作系统载荷。安全专家呼吁开发者立即检查并更新当前版本，这起供应链攻击代表了网络安全面临的严重威胁。

Anthropic旗下专有的 Claude Code 命令行工具（CLI）完整 TypeScript 源码，疑似因 npm 包配置失误，经由其 npm 注册表意外泄露。 事件最早由安全研究员邵超凡（Chaofan Shou）披露，他在社交平台 X ...