axios 供应链疑遭北韩黑客攻击，目标锁定企业加密资产

谷歌旗下的网络安全机构 Mandiant 确认，疑似朝鲜黑客组织负责本周二的 axios 供应链攻击事件。攻击者入侵了管理开源软件 axios 的开发商账户，在周二上午约三小时的窗口内，向所有下载该软件的组织推送恶意更新，目标是窃取企业加密资产以资助朝鲜核武及飞彈计划。

攻击执行细节：三小时的精确供应链打击

黑客的行动展示了软件供应链攻击的高效率特性。攻击者先取得 axios 开源软件开发商的账户控制权，随后以合法身份将带有恶意代码的版本伪装为正式更新推送出去。在那三小时的窗口中，任何组织的自动化系统在进行常规更新时，都会在不知情的情况下部署这一带有后门的版本。

谷歌旗下 Wiz 公司的战略威胁情报主管 Ben Read 指出：“朝鲜并不担心自己的声誉或最终被识别出来，所以尽管这类行动非常引人注目，他们仍愿意付出这样的代价。”

Huntress 安全研究员 John Hammond 也称此次时机“恰到好处”，直指各组织正在大量采用 AI 代理进行软件开发，“没有任何审查或约束”，使供应链漏洞更容易被系统性利用。

调查发现：受害规模与未来攻击方向

目前的调查揭示了多维度的威胁：

受影响设备：Huntress 已识别约 135 台遭入侵设备，分属约 12 家公司，估计只是实际受害规模的一小部分

评估时间：Mandiant 首席技术官 Charles Carmakal 警告，完整评估此次攻击的影响可能需要数月

下一步攻击方向：Mandiant 预计攻击者将利用窃取的凭证和系统访问权限，进一步锁定企业加密资产实施窃取

供应链脆弱性：Hammond 指出“太多人不再关注自己使用的软件组成成分，这给整个供应链带来了巨大的漏洞”

历史背景：朝鲜数字盗窃的系统性升级

此次 axios 攻击是平壤对软件供应链系统性渗透的最新案例。三年前，疑似朝鲜特工曾渗透另一家广受欢迎的语音视频软件供应商；去年，朝鲜黑客在单次攻击中窃取了价值 15 亿美元的加密货币，创下当时加密黑客案的历史纪录。

联合国以及多家私人机构的报告显示，朝鲜黑客在过去数年已从银行和加密货币公司窃取了数十亿美元。2023 年，白宫官员披露，朝鲜飞弹计划约有一半的资金来自此类数字盗窃，使这一安全威胁具备了直接的国际战略含义。

常见问题

axios 是什么，为什么成为此次供应链攻击的目标？

axios 是被广泛使用的 JavaScript npm 核心套件（受攻击版本为 1.14.1），协助开发者处理网站的 HTTP 请求，被数千家医疗、金融及科技公司采用。其极高的下载量使它成为供应链攻击的高价值目标——入侵一个开发者账户，即可在数小时内同时向大量下游组织推送恶意代码。

此次攻击对加密货币公司意味着哪些具体风险？

Mandiant 的评估指出，攻击者将利用窃取的凭证进一步入侵持有加密资产的企业。使用受感染版本 axios 的加密公司与科技企业，可能已在不知情的情况下为攻击者提供了进入内部系统的后门，使钱包私钥、API 金钥及交易凭证面临被窃取的风险。

企业应如何评估并应对此次 axios 供应链攻击？

建议立即执行以下步骤：确认系统中 axios 的版本是否为受攻击版本；审查攻击发生时段（周二上午三小时窗口）的软件更新日志；扫描是否存在异常的凭证访问或外部连接行为；并联系 Huntress、Mandiant 等安全机构进行专业评估。