一名疑似来自朝鲜的黑客被指入侵并篡改广泛使用的开源软件开发工具 Axios，在其代码中植入恶意软件，可能使数以百万计依赖该工具的开发者面临系统被攻破的风险。

Axios 是一款用于帮助软件连接互联网的 JavaScript 库，托管在开源代码仓库 npm 上，每周下载量达数千万次。安全公司 StepSecurity 的分析显示，本周一，一名黑客向 npm 推送了带有恶意代码的 Axios 新版本。该事件在周一至周二凌晨约三小时内被发现并阻止。

安全公司指出，黑客通过入侵该项目一名拥有更新权限的主要开发者账户，将恶意代码植入 Axios。攻击者在取得控制权后，将该账户原有的合法开发者邮箱地址替换为自己的邮箱，从而增加了原开发者重新夺回账户访问权限的难度。

在控制账户后，黑客向 Windows、macOS 和 Linux 用户发布了看似正常的 Axios 更新版本。安全研究人员称，这些版本中包含用于投递远程访问木马（RAT）的恶意代码，该类恶意软件可使攻击者对受害者计算机实施完全远程控制。

研究人员还表示，黑客对恶意软件及部分投递代码进行了特殊设计，使其在安装后会自动删除自身，意在规避反恶意软件引擎的检测，并增加后续调查的难度。

目前尚不清楚在攻击发生的数小时内，有多少用户下载了被篡改的 Axios 版本。参与调查的安全公司 Aikido 表示，任何在该时间段内下载相关代码的用户，“应假设其系统已被攻破”。

谷歌向科技媒体 TechCrunch 表示，其安全研究人员已将此次 Axios 被攻破事件与朝鲜黑客联系起来。谷歌威胁情报组首席分析师约翰·赫尔特奎斯特（John Hultquist）称：“我们将此次攻击归因于我们追踪的疑似朝鲜威胁行为体 UNC1069。朝鲜黑客在供应链攻击方面经验丰富，历史上曾利用此类攻击窃取加密货币。此次事件的全貌尚不清楚，但鉴于受影响软件包的流行程度，我们预计其影响将十分广泛。”

安全公司指出，黑客近年来日益频繁地将目标对准流行开源项目的开发者，通过破坏这些项目的代码，对大规模下游用户实施攻击。这类攻击被称为供应链攻击，因为攻击者通过被篡改的软件，进一步入侵下载和使用相关软件的终端用户。

近年来，类似的供应链攻击曾波及 3CX、Kaseya 和 SolarWinds 等公司，以及 Log4j 和 Polyfill.io 等开源工具，影响范围广泛。此次 Axios 事件被视为这一攻击模式的又一案例。

（本文信息更新包括谷歌关于将此次事件归因于疑似朝鲜黑客的内容。）