axios-供应链投毒事件：安装即刻触发

本文围绕2026年3月31日axios在npm上发生的供应链投毒事件展开分析，系统梳理了恶意版本 0.30.4 与 1.14.1 的发布时间线、投毒方式及完整攻击链，说明攻击者如何在未修改axios主体运行时代码的情况下，通过新增恶意依赖 plain-crypto-js 并利用postinstall脚本在 Windows、macOS 和 Linux 平台拉取并执行二阶段载荷。文章进一步拆解了 se