Gate News 消息,3 月 31 日,Socket AI 發布安全預警,npm 生態核心依賴套件 axios 遭受活躍供應鏈攻擊,其最新版本 axios@1.14.1 被注入此前從未存在的惡意套件 plain-crypto-js@4.2.1。Socket AI 分析已確認該套件為惡意軟體。axios 每週下載量超過 1 億次,所有拉取最新版本的專案均面臨潛在入侵風險。Socket AI 創始人 Feross 建議所有 axios 使用者立即鎖定版本並審查鎖定檔,切勿升級至最新版本。
