🎯 Critical APT组织 Palo Alto Unit42披露了一起严重的供应链攻击，攻击者劫持了流行JavaScript库Axios维护者的npm账号，发布了两个恶意版本（v1.14.1和v0.30.4）。这些版本通过植入隐藏依赖plain-crypto-js，在安装时触发后门脚本，针对Windows、macOS和Linux系统部署远程访问木马（RAT），并与朝鲜黑客组织（WAVESHAPER）存在关联。 来源：Palo Alto Unit42 | 2026-04-01 | 原文链接 🔍 关键发现 * 攻击者通过劫持Axios维护者的npm账户，发布了两个恶意版本，但未修改Axios源代码，而是通过注入plain-crypto-js依赖实现攻击。 * 恶意依赖利用npm的postinstall生命周期钩子执行高度混淆的Node.js dropper，该dropper采用双层编码（字符串反转、Base64和XOR加密）隐藏操作。 * dropper根据操作系统下载不同平台的RAT载荷：macOS使用C++编译的Mach-O二进制，Windows使用Power