上周，一起疑似由朝鲜方面发起的网络攻击短暂控制了广泛使用的开源项目 Axios。相关行动被指持续数周，目标直指该项目的一名核心维护者。

据维护 Axios 项目的开发者 Jason Saayman 事后披露，这次攻击在 3 月 31 日部分得逞。攻击者被描述为资源充足、行动长期且有组织的一方，通过提前布局、建立关系和获取信任，最终提高了入侵成功率。

Saayman 在公开的事后分析和时间线中表示，黑客在最终取得其电脑远程控制权、并向 Axios 项目推送恶意代码之前，大约提前两周就已开始针对他本人展开行动。

根据 Saayman 的说法，疑似朝鲜黑客首先冒充一家真实存在的公司，搭建了一个高度仿真的 Slack 工作区，并使用伪造的员工身份资料来增强可信度。随后，对方邀请他参加一场网络会议，并诱导其下载一款被伪装成“参会所需更新”的恶意软件。

Saayman 称，这一诱导方式与此前被安全研究人员归因于朝鲜的攻击手法高度相似：通过社会工程手段诱使受害者安装恶意程序，从而为黑客获取远程访问权限铺路，常见目的包括窃取加密货币等。

在成功取得 Saayman 电脑的远程访问权限后，攻击者向 Axios 项目发布了两个恶意更新包。这两个版本于 3 月 31 日首次上线，大约三小时后被撤下。

在这段时间内，相关恶意软件包可能已被安装到数千台系统上。Saayman 的分析指出，任何在上述时间窗口内安装了受污染版本的用户，其设备都有可能暴露私钥、凭证和密码等敏感信息，从而引发进一步的安全风险。目前，潜在受影响范围和攻击的完整影响尚未完全厘清。

针对媒体就此次事件发出的邮件询问，Saayman 暂未立即作出回应。

报道提到，朝鲜相关黑客组织被视为当前互联网上最活跃的网络威胁之一。据指控，仅在 2025 年，他们就被认为盗取了至少 20 亿美元的加密货币。

金正恩政权因推进核武器项目而受到国际制裁，被限制参与全球金融体系。有报道指出，该国在很大程度上依赖网络攻击和加密货币盗窃为其核计划提供资金。

公开信息显示，朝鲜被认为拥有数千名高度组织化的黑客，其中大部分在金正恩政权的高压环境下工作。这些黑客通常花费数周甚至数月时间实施复杂的社会工程攻击，通过逐步获取信任来争取访问权限，以窃取加密货币和数据，并对受害者实施勒索。

此次针对 Axios 的事件被视为这类攻击模式在开源软件生态中的又一体现，也凸显了广泛使用的开源项目维护者在面对国家级黑客和网络犯罪分子时所面临的安全压力。