剛看到一個挺嚴重的供應鏈安全事件。axios 這個 JavaScript 最受歡迎的 HTTP 客戶端庫被攻擊了。

簡單說，攻擊者盜取了 axios 首席維護者在 npm 上的訪問令牌，然後發布了兩個帶有遠程訪問木馬的毒包（版本 1.14.1 和 0.3.4），分別針對 macOS、Windows 和 Linux。這些惡意版本在 npm 註冊表上掛了約 3 小時才被下架。

更恐怖的是影響範圍。根據安全公司 Wiz 的統計，axios 每週下載量超過 1 億次，存在於大約 80% 的雲端和代碼環境裡。這意味著潛在受影響的系統數量可能相當龐大。安全公司 Huntress 在毒包上線僅 89 秒後就檢測到首批感染，並在暴露窗口期內確認至少 135 個系統遭到入侵。

最有意思的是，axios 專案其實已經部署了 OIDC 可信發布機制和 SLSA 溯源證明這些現代安全措施。但攻擊者還是完全繞過了。調查發現問題出在配置上——專案在啟用 OIDC 的同時仍然保留了傳統的長期有效 NPM_TOKEN，而 npm 在兩者共存時預設優先使用傳統令牌。結果攻擊者根本不需要突破 OIDC，直接用舊令牌就發布成功了。

這件事說明了什麼？再新再強的安全機制，配置不當也是擺設。axios 的例子警示我們，供應鏈安全不只是技術問題，執行細節同樣關鍵。如果你的項目或應用依賴這類廣泛使用的開源庫，現在可能需要檢查一下自己的依賴版本了。