每週下載數千萬次的工具被駭：開源供應鏈的信任危機

你每天依賴的程式碼，是否有人在背後悄悄動了手腳？

2026年3月底的某個深夜，全球數以萬計的開發者在毫不知情的情況下，可能下載了一個被植入惡意程式的軟體工具。這個工具叫做 Axios——一個讓軟體得以連接網際網路的 JavaScript 函式庫，每週被下載數千萬次，是現代網頁開發不可或缺的基礎建設。

事件經過：三小時的無聲滲透

這起攻擊的手法既簡單又精準。駭客首先入侵了 Axios 專案某位核心開發者的帳號，將帳號綁定的電子郵件地址替換成自己的，讓原始開發者難以奪回控制權。隨後，駭客以「正常版本更新」的形式，透過開源套件管理平台 npm 發布了含有惡意程式碼的新版本，覆蓋 Windows、macOS 與 Linux 三大作業系統。

被植入的惡意程式是一種 RAT（遠端存取木馬），一旦感染，攻擊者便能完全遠端控制受害者的電腦。更棘手的是，這段惡意程式碼在安裝後會自動刪除痕跡，刻意規避防毒軟體與資安調查人員的偵測。

資安公司 StepSecurity 在約三小時內偵測並阻止了這次攻擊。另一家調查公司 Aikido 則直接警告：「任何下載了問題版本的人，都應該假設自己的系統已遭入侵。」目前，究竟有多少開發者在這三小時內下載了惡意版本，仍不得而知。

為何現在特別重要：攻擊「信任本身」

這不是一起普通的駭客事件。它屬於「供應鏈攻擊」——攻擊的目標不是某個企業或個人，而是整個生態系統共同信任的基礎設施本身。

近年來，這類攻擊已造成多起重大事件：2020年的 SolarWinds 事件波及美國多個政府機構；2021年的 Log4j 漏洞讓全球無數系統陷入危機；Polyfill.io 的供應鏈污染事件則直接影響了大量網站用戶。Axios 事件是這條攻擊路線的最新一環。

廣告

廣告合作

[email protected]

廣告

開源軟體的核心價值在於「共享與重用」，但這也意味著，只要攻破一個維護者的帳號，就能在全球範圍內製造連鎖感染。對於廣泛採用 Axios 的電商平台、金融應用、企業後台系統而言，這次事件的潛在影響範圍難以估量。

對亞洲科技產業的衝擊：不只是技術問題

對台灣、香港及東南亞的科技企業而言，這起事件有幾個值得關注的面向。

首先是直接的技術風險。台灣擁有龐大的軟體開發社群，無論是新創公司、系統整合商，還是硬體大廠的軟體部門，Axios 都是常見的開發工具。任何在攻擊窗口期間執行了自動套件更新的專案，都面臨潛在風險。

其次是供應鏈安全的制度落差。美國政府近年大力推動 SBOM（軟體物料清單）制度，要求企業能夠追蹤自身產品中使用的所有開源元件。相較之下，亞洲多數企業在這方面的制度化程度仍有提升空間。當一個函式庫被污染，能夠在最短時間內確認「我的產品有沒有用到它」的能力，直接決定了應變速度。

第三個面向涉及地緣政治的敏感性。全球開源生態系統高度依賴少數幾個由西方主導的平台（如 npm、GitHub），這種集中化本身就是一種系統性風險。近年來，中國大陸在推動自主可控的軟體生態方面持續投入，部分原因正是對這類外部依賴風險的警覺。這次事件或許會進一步加速各方對「關鍵開源基礎設施主權」的討論。

多方視角：誰在這起事件中看到什麼

對開發者而言，最難受的地方在於：「更新到最新版本」本是安全實踐的基本原則，這次卻成了感染的入口。當正確的行為變成風險來源，開發者該如何重新校準自己的判斷？

對企業資安團隊而言，StepSecurity 等自動化監控工具在三小時內偵測到攻擊的事實，說明了投資供應鏈安全監控的實際價值。然而，許多中小型科技公司在資安預算上仍相當有限。

對開源社群而言，這次事件再次暴露了一個結構性問題：支撐全球軟體生態的眾多關鍵函式庫，往往由少數志願者在業餘時間維護，帳號安全與維護者身份驗證機制的強化，是整個社群必須正視的課題。