午方 AI 消息，JavaScript 核心 HTTP 客户端库 Axios 遭遇严重供应链攻击。攻击者窃取项目首席维护者的 npm 访问令牌，发布包含跨平台远程访问木马（RAT）的恶意版本 axios@1.14.1 和 axios@0.3.4，目标覆盖 macOS、Windows 及 Linux 系统。恶意包在 npm 注册表存活约 3 小时后被移除，安全公司 Huntress 在上线 89 秒内即检测到首批感染，并确认至少 135 个系统在暴露窗口期内遭到入侵。 据安全公司 Wiz 数据，Axios 每周下载量超 1 亿次，渗透率高达约 80% 的云与代码环境。尽管该项目已部署 OIDC 可信发布机制和 SLSA 溯源证明，但攻击者利用配置缺陷成功绕过防线：项目在启用 OIDC 的同时保留了传统长期有效的 NPM_TOKEN，而 npm 在两者共存时默认优先使用传统令牌，致使攻击者无需突破 OIDC 即可完成恶意发布。