技术博客

Axios 投毒事件警示业界：前端安全已远超传统浏览器边界，全面延伸至依赖安装、构建打包及线上运行的全生命周期。攻击者通过劫持 npm 包维护权，在流行 HTTP 客户端库 Axios 的恶意分支中植入窃取环境变量的代码，波及大量依赖其子包的项目。该事件凸显 npm 生态中维护者权限管理松散、自动化审计缺失等供应链风险，印证了“依赖投毒”正成为前端供应链安全最现实的威胁之一。