Axios 的 npm 版本 1.14.1 和 0.30.4 遭供应链投毒，被植入恶意依赖 plain-crypto-js@4.2.1，安装时会通过 postinstall 下发多阶段载荷，最终在 macOS、Windows、Linux 上部署可远程执行命令、窃取系统信息并维持持久化的木马；异常发布疑似绕过官方流程，使用相关版本范围的项目可能自动中招，应立即排查锁文件并回退到安全版本。

Supply Chain Attack on Axios Pulls Malicious Dependency from npm

针对 Axios 的供应链攻击从 npm 平台拉取恶意依赖项

与科技、互联网、AI、创业、商业动态相关的新闻、趋势解读、行业分析或政策变化信息，强调“正在发生的事情”。

业界资讯

高质量文章分享，包括深度思考、方法论、认知提升、人生哲学或优质写作内容，不限技术领域，强调内容价值与启发性。

佳文共赏

与编程开发、系统架构、算法、AI 工程、运维实践等相关的技术文章，包含实操经验、教程、问题解决方案。

技术博客

以介绍、推荐、整理或分析单个或多个开源项目为核心主体的内容。

开源项目

可直接使用、收藏或参考的工具、网站、模板、插件、资料库等实用资源为主的内容。

资源推荐

用于系统学习或深入理解某个主题的教程、课程、文档、手册、学习路线等内容。

学习资料

智能体

AI编程

Claude

代码代理

Anthropic

Gemini

多模态

AI代理

CI/CD

ClaudeCode

Claude插件

Cloudflare

LangGraph

OpenAI

TypeScript

macOS

上下文

代码审查

代码评审

供应链攻

多代理

多智能体

工具设计

工具调用

开源模型

智能体评测

编程代理

长期记忆

AI 算力瓶颈

AI传播

AI爬虫

AI语言

ASML 光刻机

AST解析

Agent

Agent产品

Agent团队

Agent工具

Agent技能

Agent架构

Agent框架

Apifox投毒

Axios投毒

CDN缓存

ClawHub

Cursor3

C语言

DeepAgents

DeepSeek

Electron

GLM-5

GLM-5V

GUI智能体

Gemma4

Git工作树

GoogleAI

Harness

Helion

IDE演进

KV缓存

LLM写作

LLM问答

LangSmith

LettaSDK

LiteLLM

LiveAPI

MAI模型

MCP协议

MCP服务

Markdown

MiniMax

Obsidian

OpenAI收购

Playwright

PyPI投毒

Qwen3.6

RSS阅读器

ReAct

Rust

Rust Worker

SWE-bench

Schema设计

SearchLive

Sora停运

TBPN

Token定名

TurboQuant

V4发布

WSBK

npm供应链

npm包

三缸引擎

上下文工

上下文管理

不确定性

个人科研

中国AI

云工作器

云端交接

产品增长

Socket Research Team 作者

针对 Axios 的供应链攻击从 npm 平台拉取恶意依赖项