親愛的客戶您好:
近期開源套件社群發生一起供應鏈攻擊事件,影響廣泛使用的 JavaScript HTTP 套件 Axios。由於該套件非常熱門,影響範圍涵蓋開發環境、CI/CD 環境與相關系統,特此發布資安通報,建議貴單位進行相關檢查與因應處理。
近期 Axios 維護者的 npm 帳號遭入侵,攻擊者於 npm 平台發布含有惡意程式的套件版本。當開發人員或 CI/CD 系統安裝該版本套件時,會在安裝過程中透過 postinstall script(安裝腳本)下載並執行遠端控制程式(RAT, Remote Access Trojan),可能導致開發主機、建置主機或伺服器之憑證、金鑰或敏感資訊外洩。
由於Axios為廣泛使用的開源套件,此類攻擊一旦進入開發流程,影響範圍可能從單一專案擴大至整體開發與部署環境,企業需特別留意相關風險。
攻擊類型
開源軟體供應鏈攻擊(Software Supply Chain Attack)—— 透過套件更新植入惡意程式,只要安裝受影響版本即可能遭入侵。

建議使用 axios 1.14.0/axios 0.30.3 安全版本,或更新至最新版本。
建議透過以下方式,檢查專案是否使用到受影響版本。
可在專案根目錄執行npm list axios指令,快速列出目前專案實際使用的axios套件版本(包含相依套件所引用的版本)。
透過此方式,可初步確認專案中是否存在受影響版本,特別適用於快速盤點單一專案或進行即時檢查。
請檢查package.json、package-lock.json、yarn.lock與pnpm-lock.yaml 等檔案中,是否存在受影響版本。
若使用 Mend SCA開源元件掃描平台,系統提供自動化監控與手動盤點兩種方式。
登入 Mend 平台,依循以下路徑確認受影響範圍:
建議立即移除受影響的axios套件版本(npm uninstall axios),並安裝已確認安全的版本,如1.x分支的axios@1.14.0或0.x分支的axios@0.30.3。
同時,為避免未來因版本自動升級而再次引入風險,建議於package.json中移除版本號前的^或~符號,將版本進行精確固定,以確保相依套件來源可控。
由於此類RAT惡意軟體具備自動竊取機敏資訊的能力,凡是曾安裝過惡意版本的開發機與伺服器,其上的所有金鑰必須視為已洩漏並執行撤換,範圍包括:
清除本地快取(npm cache clean –force)並進行主機端入侵指標(IoC)排查,依據File System Indicators清單,檢查是否存在以下惡意跡象。

File System Indicators 清單
若發現上述跡象,代表惡意程式已成功植入,切勿嘗試手動刪除單一檔案,應立即將該機器斷網隔離,並進行系統重灌。
停用安裝腳本:npm install --ignore-scripts
或在 .npmrc 中設定 ignore-scripts=true
確保環境一致性:在 CI/CD 流程中改用 npm ci 取代 npm install,強制執行與 package-lock.json 完全一致的依賴結構
防火牆是阻斷惡意程式「對外聯網(C2)」的最前線,建議針對以下重點進行流量分析。
阻斷已知惡意指標(IoC)連線

連線域名與 Port 清單
開源供應鏈攻擊近年持續增加,其特點為:
|
攻擊特點 |
建議防範機制 |
|
• 非傳統漏洞攻擊 • 套件本身被植入惡意程式 • 只要安裝即可能遭入侵 • CI/CD 與開發環境為主要目標 • 可能導致憑證外洩與供應鏈入侵 |
• SBOM(Software Bill of Materials) • 開源元件安全掃描(SCA) • Dependency Version Lock 機制 • CI/CD 安全控管 • 開源套件審核流程 • 供應鏈安全管理機制 |
近年開源供應鏈攻擊持續增加,其特徵已逐漸從單一漏洞利用,轉向透過套件更新與信任機制進行滲透。一旦開發流程導入受污染的元件,攻擊便可能在安裝階段即發生,且隨著CI/CD自動化流程快速擴散至多個環境。
此外,此類攻擊往往隱蔽性高、影響範圍廣,不僅難以及時察覺,也可能對開發環境、憑證管理與整體系統安全造成長期風險。
本次Axios攻擊事件顯示,企業在使用開源元件時,除了關注已知漏洞外,更需重視套件來源、版本控管與開發流程中的安全機制,才能有效降低供應鏈攻擊帶來的衝擊。
Mend.io(前身為WhiteSource)是AI-Native的應用程式與軟體供應鏈安全平台,以SBOM(Software Bill of Materials)為核心,協助企業在軟體開發生命週期(SDLC)中,持續掌握應用程式與開源套件的組成、漏洞與授權風險,建立可治理、可追蹤、可稽核的軟體供應鏈安全管理機制。
平台同時支援AI Security與AIBOM(AI Bill of Materials),協助企業盤點AI元件與模型來源,並透過AI Red Team演練測試,實際驗證LLM在提示注入(Prompt Injection)、資料洩露、幻覺輸出與不當行為等風險下的暴露程度。可對應OWASP Top 10 for LLM Applications,並支援企業在因應EU AI Act、NIST AI Risk Management Framework(AI RMF)等AI風險治理與風險管理要求。
平台亦支援靜態應用程式安全測試(SAST)、Container容器安全掃描與IaC分析,協助企業在程式碼、相依套件與部署環境各層面及早識別風險,並透過既有開發流程進行修補與管控,在不影響開發效率的前提下,兼顧資訊安全治理與軟體交付速度。
若對 Mend.io 平台有興趣,歡迎留下資訊,將有專人與您聯繫 ➤ https://www.gss.com.tw/mend-io