Chuỗi cung ứng của axios có khả năng đã bị tin tặc Bắc Triều Tiên tấn công, nhằm mục tiêu vào tài sản mã hóa của doanh nghiệp

Mandiant, 由 Google 旗下網路安全機構負責確認，疑似北韓駭客組織應對本週二的 axios 供應鏈攻擊事件負責。攻擊者入侵了管理開源軟體 axios 的開發商帳戶，在週二上午約三小時的窗口內，向所有下載該軟體的組織推送惡意更新，目標是竊取企業加密資產以資助北韓核武及飛彈計畫。

攻擊執行細節：三小時的精確供應鏈打擊

駭客的行動展示了軟體供應鏈攻擊的高效率特性。攻擊者先取得 axios 開源軟體開發商的帳戶控制權，隨即以合法身份將帶有惡意程式碼的版本偽裝為正式更新推送出去。在那三小時的窗口中，任何組織的自動化系統在進行常規更新時，均會在不知情的情況下部署這一帶有後門的版本。

Google 旗下 Wiz 公司的戰略威脅情報主管 Ben Read 指出：「北韓並不擔心自己的聲譽或最終被識別出來，所以儘管這類行動非常引人注目，他們仍願意付出這樣的代價。」

Huntress 安全研究員 John Hammond 更稱此次時機「恰到好處」，直指各組織正大量採用 AI 代理進行軟體開發，「沒有任何審查或約束」，使供應鏈漏洞更容易被系統性利用。

調查發現：受害規模與未來攻擊方向

目前的調查揭示了多維度的威脅：

受影響設備：Huntress 已識別約 135 台遭入侵設備，分屬約 12 家公司，估計只是實際受害規模的一小部分

評估時間：Mandiant 首席技術官 Charles Carmakal 警告，完整評估此次攻擊的影響可能需要數月

下一步攻擊方向：Mandiant 預期攻擊者將利用竊取的憑證和系統存取權限，進一步鎖定企業加密資產實施竊取

供應鏈脆弱性：Hammond 指出「太多人不再關注自己使用的軟體組成成分，這給整個供應鏈帶來了巨大的漏洞」

歷史背景：北韓數位竊盜的系統性升級

此次 axios 攻擊是平壤對軟體供應鏈系統性滲透的最新案例。三年前，疑似北韓特工曾滲透另一家廣受歡迎的語音視訊軟體供應商；去年，北韓駭客在單次攻擊中竊取了價值 15 億美元的加密貨幣，創下當時加密駭客案的歷史紀錄。

聯合國與多家私人機構的報告顯示，北韓駭客在過去數年已從銀行和加密貨幣公司竊取了數十億美元。2023 年，白宮官員披露，北韓飛彈計畫約有一半的資金來自此類數位竊盜，使這一安全威脅具備了直接的國際戰略意涵。

常見問題

axios 是什麼，為何成為此次供應鏈攻擊的目標？

axios 是被廣泛使用的 JavaScript npm 核心套件（受攻擊版本為 1.14.1），協助開發者處理網站的 HTTP 請求，被數千家醫療、金融及科技公司採用。其極高的下載量使它成為供應鏈攻擊的高價值目標——入侵一個開發者帳戶，即可在數小時內同時向大量下游組織推送惡意程式碼。

此次攻擊對加密貨幣公司意味著哪些具體風險？

Mandiant 的評估指出，攻擊者將利用竊取的憑證進一步入侵持有加密資產的企業。使用受感染版本 axios 的加密公司與科技企業，可能已在不知情的情況下為攻擊者提供了進入內部系統的後門，使錢包私鑰、API 金鑰及交易憑證面臨被竊取的風險。

企業應如何評估並應對此次 axios 供應鏈攻擊？

建議立即執行以下步驟：確認系統中 axios 的版本是否為受攻擊版本；審查攻擊發生時段（週二上午三小時窗口）的軟體更新日誌；掃描是否存在異常的憑證存取或外部連線行為；並聯繫 Huntress、Mandiant 等安全機構進行專業評估。