Axios供应链攻击使用针对性社交工程手段

关键信息

攻击者精心重建了公司的身份——包括创始人形象，并创建了一个逼真的Slack工作区，其中包含真实的LinkedIn帖子和该公司团队及其他开源维护者的虚假账号。他们安排了一场Teams会议，声称需要系统更新，诱使维护者安装了RAT。

资讯摘要

2026年4月3日，Axios团队发布了一份详细的事故复盘报告，揭示了一起通过针对性社交工程攻击其维护者的供应链攻击事件。攻击者冒充一家公司的创始人，克隆了该公司品牌，并邀请该维护者加入一个逼真的Slack工作区，其中包含真实的LinkedIn帖子和虚假的团队成员账号。随后的一场Microsoft Teams会议声称需要系统更新，诱使维护者安装了一个看似合法的工具——实则是一个远程访问木马（RAT）。

这个RAT窃取了凭证，使攻击者得以将恶意包发布到Axios的依赖链中。这次攻击与UNC1069等已知攻击手法极为相似，凸显了软件生态系统中人为因素攻击日益增长的风险。

资讯正文

Axios供应链攻击使用了针对个人的社交工程手段

2026年4月3日

Axios团队已发布了一份关于此前导致恶意软件依赖项随发布包一同分发的供应链攻击的完整复盘报告，该攻击涉及一场针对其一名维护者的复杂社交工程活动。以下是Jason Saayman对这一过程的描述：

攻击路径模仿了谷歌所记录的方式：https://cloud.google.com/blog/topics/threat-intelligence/unc1069-targets-cryptocurrency-ai-social-engineering。

他们专门针对我进行了定制化操作，具体包括：

他们伪装成一家公司创始人，不仅复制了该公司创始人的外貌特征，还完全复刻了这家公司本身。

随后，他们邀请我加入一个真实的Slack工作区。这个工作区的品牌和命名都与该公司的CI（持续集成）系统一致，看起来非常合理。Slack的设计十分用心，其中设有分享LinkedIn帖子的频道——这些帖子大概率指向真实公司的账号，但极具欺骗性。他们甚至设置了假的公司团队成员资料，以及多名其他开源项目维护者的虚假账户。

他们安排了一次与我的线上会议以建立联系。会议在Microsoft Teams上进行，参会人员看似是一个团队。会议中提示我的系统某个组件过时了，我误以为是Teams需要更新，于是安装了该补丁，而这正是远程访问木马（RAT）。

整个过程高度协调、外观专业且极度逼真。

RAT即远程访问木马，正是这软件窃取了开发者的凭证，从而被用于发布恶意包。

这是一种非常有效的骗局。我参加很多会议时，经常需要临时安装 Webex 或 Microsoft Teams 等软件，时间紧迫让我总是快速点击“是”来确保不迟到。

每一个维护足够多人使用的开源软件的人都必须熟悉这种攻击策略。

近期文章

关于代理工程的 Lenny 播客对话要点 —— 2026 年 4 月 2 日

Mr. Chatterbox 是一个（较弱的）维多利亚时代伦理训练模型，你可以在自己的电脑上运行 —— 2026 年 3 月 30 日

本文为 Simon Willison 于 2026 年 4 月 3 日发布的《Axios 供应链攻击使用了针对性社会工程手段》

来源与参考

1. 原始链接
2. The Axios supply chain attack used individually targeted social engineering