詳細を読む
2026年3月31日、JavaScriptで最も広く使われるHTTPライブラリaxiosのnpmパッケージがサプライチェーン攻撃を受け、悪意あるバージョンが約3時間にわたり公開されました。攻撃者は保守者のnpmトークンを窃取し、遠隔操作型トロイの木馬を仕込んだ2つのバージョンを配布しています。
axiosは週1億回以上ダウンロードされ、クラウド環境の約80%に存在するとWizが報告しています。Huntressは公開から89秒で最初の感染を検知し、露出期間中に少なくとも135システムの感染を確認しました。影響を受けたバージョンはaxios@1.14.1とaxios@0.30.4です。
攻撃者はaxiosのソースコードには触れず、plain-crypto-jsという悪意ある依存パッケージを追加しました。このパッケージのpostinstallスクリプトがmacOS・Windows・Linuxの各プラットフォーム向けRATを展開します。マルウェアは実行後に自身を消去し、フォレンジック調査を妨害する仕組みでした。
axiosプロジェクトはOIDC Trusted PublishingやSLSA証明など最新のセキュリティ対策を導入していました。しかしCI/CD環境にレガシーなNPM_TOKENが残存しており、npmはOIDCよりトークンを優先する仕様のため、攻撃者はOIDCを迂回できました。これは7カ月間で3件目のnpm認証情報を起点とする攻撃です。
AI採用スタートアップMercorも、オープンソースプロジェクトLiteLLMの侵害に関連するセキュリティ事故を公表しました。Lapsus$がデータ窃取を主張しており、Slackデータや業務動画の流出が指摘されています。サプライチェーン攻撃の被害が企業の事業データにまで波及する事例として注目されます。
企業の対応としては、lockfileやCI/CDログで該当バージョンの有無を確認し、感染が判明した場合は全認証情報のローテーションとマシンの再構築が必要です。C2サーバー(sfrclak.com)のDNSブロック、CI/CDでのnpm ci --ignore-scripts強制、レガシートークンの棚卸しが推奨されています。