刚看到一个相当严重的供应链安全事件，axios 这个 JavaScript 最常用的 HTTP 客户端库遭到了攻击。

事情是这样的，攻击者窃取了 axios 首席维护者的 npm 访问令牌，然后直接发布了两个包含远程访问木马的恶意版本，分别是 [email protected] 和 [email protected]，能在 macOS、Windows 和 Linux 上都运行。这些恶意包在 npm 上存活了大约 3 小时才被发现并移除。

最吓人的是影响范围。axios 每周下载量超过 1 亿次，根据安全公司 Wiz 的数据，大约 80% 的云端环境和代码环境里都有 axios。Huntress 这家安全公司反应很快，在恶意包上线不到 2 分钟就检测到了首批感染，他们确认至少有 135 个系统被入侵了。

更值得关注的是，axios 项目其实已经部署了现代的安全措施，包括 OIDC 可信发布机制和 SLSA 溯源证明，但攻击者完全绕过了。调查发现问题出在配置上，axios 在启用 OIDC 的同时还保留着传统的长期有效 NPM_TOKEN，而 npm 在两者共存时预设优先使用传统令牌。这就给了攻击者可乘之机。

这个事件提醒我们，光有安全工具还不够，配置和流程管理同样关键。很多开源项目可能都面临类似的隐患。