流行的HTTP客户端库Axios在NPM平台的仓库被黑客攻击，黑客通过某种方式获得开发者管理员账号和密码，然后发布两个恶意版本 axios@1.14.1 和 axios@0.30.4 版。带毒版本并未直接在 Axios 添加恶意代码，而是偷偷注入隐藏依赖 plain-crypto-js@4.2.1 版，因此开发者执行安装时也会自动执行后门程序，最终会被安装远程访问木马。Axios 是全球最流行的 JavaScript HTTP 库之一，每周下载量超过 3 亿次，任何在 3 月 31 日前后执行过 npm install 或 npm update 的项目，只要锁定到这两个带毒版本，则都可能被植入了远程木马。目前NPM官方已经从仓库中删除携带后门的恶意依赖。

—— 蓝点网