一、情况概述

前端 / Node.js 主流 HTTP 请求库 Axios 在 npm 官方仓库遭供应链投毒攻击，攻击者劫持维护者账号，恶意发布带远控木马的污染版本，安装时自动执行恶意脚本，获取主机控制权、窃取敏感信息，影响全平台开发环境，风险已传导至 OpenClaw 等依赖 Axios 的项目。

二、受影响范围

1. 恶意版本：axios@1.14.1及axios@0.30.4。

2.受影响系统：在 2026-03-31 00:21–03:15 UTC 期间执行了npm install 并拉取以下版本的系统：

·axios@1.14.1

·axios@0.30.4

·plain-crypto-js@4.2.1（作为间接依赖被拉取）

三、风险危害

1. 远程下载并执行木马，获取主机完全控制权，且恶意程序伪装系统文件、自我清理，隐蔽性极强；

2. 窃取 SSH 密钥、Git 凭证、云服务 AK/SK、数据库密码、Shell 历史等高敏感信息；

3.以受控主机为跳板，发起内网横向渗透攻击。

四、排查方法

1. 项目依赖排查

npm list axios #查看当前项目 Axios 版本

npm list -g axios #全局排查

出现 1.14.1 或 0.30.4 即为受污染版本。

2. 恶意依赖排查

npm list plain-crypto-js

出现 4.2.1 判定已中招。

3. 网络连接排查

检查是否存在到 sfrclak.com 的出站连接，存在即已失陷。

五、处置与修复建议

1.回退到安全版本

npm install axios@1.14.0　　　　# 1.x 用户

npm install axios@0.30.3　　　　# 0.x 用户

2.删除恶意残留

rm -rf node_modules/plain-crypto-js

3.清理并重新安装（禁止执行 postinstall 脚本）

rm -rf node_modules package-lock.json

npm install --ignore-scripts

4.修改 package.json 中的 axios 版本为精确版本:

"axios": "1.14.0"　　# 去掉^或~前缀

如需技术支持，请联系信息中心26536188。