🚨 关键供应链攻击实时进行中

@feross 刚刚发布了这个消息：axios (100M+ 每周下载量) 最新版本1.14.1和0.30.4已被破坏。
攻击者劫持了维护者的npm账户，并在其中植入了plain-crypto-js@4.2.1，这是一个完整的远程访问木马（RAT）载荷，具有以下功能：
• 在postinstall时运行 (无需导入)
• 解混淆并执行shell命令
• 生成特定平台的恶意软件 (macOS、Windows、Linux)
• 自我销毁以隐藏踪迹
依赖axios (直接或间接)的流行加密平台和钱包包括：
• MetaMask
• Trust Wallet
• Coinbase Wallet
• Uniswap
• OpenSea
• Phantom
加密术语Alpha：
如果你运行任何Node.js加密工具 (如MEV机器人、交易脚本、链上索引器、钱包连接器等)，你现在就暴露在风险中。
立即将axios锁定到1.14.0或0.30.3版本。审查你的锁文件。如果你在过去12小时内安装了，请假设已被破坏。
“plain-crypto-js”这个包名写恶意软件的讽刺……真是厨师之吻 😭
你已经在运行Socket Security或锁定你的依赖了吗？还是还在“npm install latest”那一帮人？