2026 年 3 月 31 日，安全机构 StepSecurity 发现 JavaScript 生态中下载量最大的 HTTP 客户端库 axios 遭遇供应链攻击。攻击者劫持了 axios 首席维护者的 npm 账号（jasonsaayman），手动发布了两个恶意版本——[email protected] 和 [email protected]——分别投放到 1.x 和 0.x 两条 release 分支。

这两个版本绕过了项目正常使用的 GitHub Actions CI/CD 流程，也未绑定 npm 的 OIDC Trusted Publisher 机制。npm registry 上的发布