近期使用了npm命令下载Axios 包（1.14.1/0.30.4 版本）的需要注意，该版本带恶意程序，各位注意使用npm命令下载Axios 包时，请下载安全的（1.14.0）版本 
一、这个恶意程序的核心行为 
该恶意程序通过受污染的 Axios 包（1.14.1/0.30.4 版本） 或恶意包plain-crypto-js传播（属于供应链攻击），植入后会： 
在不同系统落地 Stage-2 恶意载荷（如 macOS 的com.apple.act.mond、Linux 的/tmp/ld.py、Windows 的wt.exe/6202033.*）； 
连接恶意 C2 服务器sfrclak.com，接受攻击者远程指令； 
自带反取证机制（如自毁setup.js、篡改package.json），掩盖攻击痕迹。 
二、核心危害（按严重度排序） 
敏感信息窃取：窃取 SSH 密钥、API 令牌、账...