剛看到一個挺嚴重的供應鏈安全事件，axios 這個 JavaScript 最常用的 HTTP 客戶端庫遭到了攻擊。

事情是這樣的，攻擊者竊取了 axios 首席維護者的 npm 訪問令牌，然後直接發布了兩個包含遠程訪問木馬的惡意版本，分別是 axios@1.14.1 和 axios@0.3.4，能在 macOS、Windows 和 Linux 上都跑。這些惡意套件在 npm 上存活了大約 3 小時才被發現並移除。

最嚇人的是影響範圍。axios 每週下載量超過 1 億次，根據安全公司 Wiz 的數據，大約 80% 的雲端環境和程式碼環境裡都有 axios。Huntress 這家安全公司反應很快，在惡意套件上線不到 2 分鐘就檢測到了首批感染，他們確認至少有 135 個系統被入侵了。

更值得關注的是，axios 專案其實已經部署了現代的安全措施，包括 OIDC 可信發布機制和 SLSA 溯源證明，但攻擊者完全繞過了。調查發現問題出在配置上，axios 在啟用 OIDC 的同時還保留著傳統的長期有效 NPM_TOKEN，而 npm 在兩者共存時預設優先使用傳統令牌。這就給了攻擊者可乘之機。

這個事件提醒我們，光有安全工具還不夠，配置和流程管理同樣關鍵。很多開源專案可能都面臨類似的隱患。