npm axios 遭新型供应链攻击，周下载量达3亿

知名AI研究员Andrej Karpathy在𝕏警告：npm生态中下载量最高的HTTP客户端库axios（周下载量3亿）正遭遇新型供应链攻击。他在自查系统时发现，数日前因实验gmail/gcal命令行工具而安装的googleworkspace/cli包，悄然引入了被污染的axios版本。

该恶意变体尚未触发大规模破坏，但已具备隐蔽执行远程代码能力。Karpathy强调，开发者如今几乎每次执行npm install或pip install，都如同‘玩俄罗斯轮盘’——尤其当LLM自动代劳依赖安装时，风险进一步放大。此类攻击不依赖漏洞利用，仅靠包名混淆与发布权限劫持即可生效，防御难度显著高于传统安全边界。