全网炸了！5亿人用的Axios竟被投毒，你的密钥还保得住吗？

早些时候，聊过 Python 领域那场惊心动魄的供应链攻击。当时我就感叹，虽然我们 JavaScript 开发者对这类套路烂熟于心，但亲眼目睹这种规模的“投毒”还是头一次。

然而，属于我们 JS 圈的至暗时刻，终究还是卷土重来了。

而且这一次，对手的手段远比之前更加隐蔽、更加狠辣。这绝不是什么无关痛痒的 Bug，而是一场蓄谋已久的“定点爆破”。最令人脊背发凉的是，这次沦陷的中心，竟然是那个几乎统治了所有前端请求的——Axios。

没错，就是那个你每天都在用的 Axios。

如果你在过去几天里新建过项目，或者在生产环境中进行了部署，哪怕只是随手执行了一次简单的安装命令……

请你现在、立刻、马上，去检查你的版本号！

因为此时此刻，你的代码库可能已经变成了一个随时引爆的火药桶。要知道，Axios 每周的下载量高达惊人的 5 亿次。它无处不在，深入到了互联网的每一个角落。如果你恰好在那个危险的窗口期点击了安装，那么你引入的绝不仅仅是一个请求库。

你还亲手把一个潜伏的杀手——plain-crypto.js，请进了你的系统。

这就是大多数开发者最容易忽略的盲区：当我们安装一个包时，我们引入的其实是一整个深不可测的生态链。它依赖它，它又依赖另一个它……层层嵌套，环环相扣。而你的package-lock.json（或yarn.lock），正是管理这条生死线的唯一屏障。

这次的攻击者，精准地在这一环里埋下了毒饵。

请务必看清楚下面这两个“死亡版本”：

• Axios 1.14.1

• Axios 0.30.4

如果你的 Lock 文件里出现了这两个数字，请不要抱有任何侥幸心理。这根本不是简单的代码缺陷，这是一次彻头彻尾的RAT（远程访问木马）攻击。

这意味着，从安装完成的那一秒起，黑客就已经拿到了你系统的“万能钥匙”。他们可以像逛自家后花园一样：

• 肆意入侵你的本地系统；

• 瞬间洗劫你的 SSH 密钥；

• 疯狂榨干你的 API Token；

• 在你的眼皮子底下，将所有的敏感数据加密发送到远程服务器。

而你，对此可能毫无察觉。

所以，我在这里恳请每一位开发者：

第一步，立刻重置你所有的密钥！

无论是 API Key、SSH Key，还是任何涉及权限的凭证，全部作废重来。

第二步，严密监控你的网络活动。

盯着那些奇怪的请求，看看它们到底想把你的数据运往何处。

这不是在危言耸听。在当下的开发环境里，很多人甚至都已经忘记了fetch怎么写，习惯性地直接调起 Axios。这种“集体无意识”的依赖，正是这场灾难最恐怖的地方。

如果你身边还有在做 JavaScript 开发的朋友，请务必把这条消息转发给他们。大声告诉他们：查一下 Axios 的版本！

如果是1.14.1或0.30.4，请立刻停下手头的工作，采取断然措施。哪怕是重装系统也在所不惜，因为你面对的，是最高级别的安全沦陷。

别等密钥被偷光了，才想起要补这个天大的窟窿。

最后：

精通 React 面试：从零到中高级(针对面试回答)

CSS终极指南

Vue 设计模式实战指南

20个前端开发者必备的响应式布局

深入React:从基础到最佳实践完整攻略

python 技巧精讲

React Hook 深入浅出

CSS技巧与案例详解

vue2与vue3技巧合集

全栈AI·探索：涵盖动效、React Hooks、Vue 技巧、LLM 应用、Python 脚本等专栏，案例驱动实战学习，点击二维码了解更多详情。