2026 年 3 月 31 日，安全机构 StepSecurity 发现 JavaScript 生态中下载量最大的 HTTP 客户端库 axios 遭遇供应链攻击。攻击者劫持了 axios 首席维护者的 npm 账号（jasonsaayman），手动发布了两个恶意版本——[email protected] 和 [email protected]——分别投放到 1.x 和 0.x 两条 release 分支。

这两个版本绕过了项目正常使用的 GitHub Actions CI/CD 流程，也未绑定 npm 的 OIDC Trusted Publisher 机制。npm registry 上的发布

Apifox 桌面端被曝遭遇一次供应链投毒。按公开还原分析，问题不在用户自己导入了什么接口文档，而在桌面端加载的一段 CDN 事件统计脚本被篡改；一旦代码在 Electron 环境里跑起来，拿到的就是开发机上的敏感信息。

研究者 phith0n 公开的恶意载荷还原代码显示，这段脚本会先收集设备指纹、系统信息、用户名、主机名，并尝试读取 Apifox 本地登录态，再调用官方用户接口获取账户邮箱和昵称。更危险的是，它还会向远端域名请求加密载荷，解密后直接执行，给后续继续下发恶意代码留了口子。

![Apifox 供应链攻击配图](https://linlog.top/api/uploads/20