slmingol/axios-vulnerability

# Axios 供应链漏洞评估 此目录包含与 2026 年初发生的 axios npm 包供应链入侵事件 (CVE-2026-axios) 相关的脚本和数据。 ## 文件 ### 扫描 - **`scan_axios_compromise.py`** - 扫描 GitHub 仓库以查找 axios 依赖并检查版本 - 生成包含受影响仓库的 JSON 输出 - 检查多个仓库中的 package.json 文件 ### 创建 PR - **`create_axios_prs.py`** - 用于自动创建修复 axios 漏洞的 PR 的 Python 脚本 - 使用 GitHub API（需要 GH_TOKEN） - 创建安全修复分支和 PR - 将 package.json 更新到安全版本 - **`create_axios_fix_prs.sh`** - 用于创建 axios 安全 PR 的 Bash 脚本替代方案 - 克隆仓库，更新 axios 版本，创建 PR - 需要 GitHub CLI (gh) ### 数据 - **`axios_scan_20260401_110558.json`** - 2026 年 4 月 1 日的扫描结果 - 列出所有包含 axios 依赖的仓库 - 版本信息及受影响状态 ## 使用方法 ### 扫描受影响的仓库： ``` python scan_axios_compromise.py ``` ### 创建 PR 以修复漏洞： ``` # 使用 Python 脚本： python create_axios_prs.py # 或使用 bash 脚本： bash create_axios_fix_prs.sh ``` ## 背景 axios npm 包被注入了恶意版本并发布到了 npm（axios@1.14.4 和 axios@2.0.0-beta.13）。恶意代码： - 在执行后自毁 - 将 package.json 替换为干净的诱饵文件 - 向 sfrclak.com:8000 发起外部连接 - GitHub 仓库中没有留下任何痕迹（没有 tag，没有 commit） **安全版本**：1.14.2（固定版本，无插入符） ## 参考 - [axios 入侵事件 gist](https://gist.github.com/joe-desimone/36061dabd2bc2513705e0d083a9673e7) - 通过运行时行为监控发现，而非静态分析 - 在 39 分钟内影响了两个发布分支

标签：AES-256, axios, Bash, CVE-2026-axios, DAST, DevSecOps, DNS 反向解析, IP 地址批量处理, npm, Pull Request, Python, 上游代理, 代码仓库管理, 依赖安全, 包管理器安全, 应用安全, 恶意软件分析, 无后门, 暗色界面, 模块化设计, 漏洞评估, 网络信息收集, 自动化修复, 运行时监控, 逆向工具