网络安全公司 Socket 率先披露，Axios 生态遭遇严重供应链攻击，axios@1.14.1 与 axios@0.30.4 两个版本被植入恶意依赖库 plain-crypto-js@4.2.1。该恶意库在安装阶段即可触发自动执行脚本，无需用户交互便能确立远程访问权限。OX Security 分析指出，这一机制使攻击者能够全面接管受感染设备，进而窃取登录凭证、API 密钥及加密钱包等核心资产。此次事件凸显了单一开源组件被入侵后，如何通过依赖链迅速扩散至数千个下游应用，对开发环境与终端用户构成系统性威胁。

面对迫在眉睫的风险，安全机构一致建议将任何安装上述受影响版本的系统直接视为已被完全入侵。开发者需立即重置所有关键凭证，涵盖会话令牌及各类 API 密钥，并彻底清除项目中涉及的 plain-crypto-js@4.2.1 依赖。Socket 强调，该恶意包发布时机隐蔽，其自动化执行特性使得防御窗口极短，任何延迟处理都可能导致数据泄露扩大化。在午方看来，此类攻击已不再局限于代码层面的破坏，而是演变为针对数字身份与资产底层的精准收割。

此次 Axios 事件并非孤立个案，而是近期供应链安全危机的延续。1 月 3 日，链上调查专家 ZachXBT 报告称，以太坊虚拟机兼容网络上数百个钱包遭批量盗刷，损失虽单笔不大但波及面广。安全研究员 Vladimir S 推测，该攻击可能与 12 月份 Trust Wallet 的漏洞存在关联，彼时超过 2,500 个钱包损失约 700 万美元，而事故根源同样指向开发流程中被入侵的 npm 包。从基础设施层的代码投毒到终端用户的资金失窃，攻击路径正变得愈发隐蔽且高效。