Gate News 消息,3 月 31 日,Socket AI 发布安全预警,npm 生态核心依赖包 axios 遭受活跃供应链攻击,其最新版本 axios@1.14.1 被注入此前从未存在的恶意包 plain-crypto-js@4.2.1。Socket AI 分析已确认该包为恶意软件。axios 每周下载量超 1 亿次,所有拉取最新版本的项目均面临潜在入侵风险。Socket AI 创始人 Feross 建议所有 axios 用户立即锁定版本并审查锁定文件,切勿升级至最新版本。
