【緊急】axios がサプライチェーン攻撃 2026.03.31

DRANK

TL;DR2026年3月31日、npm で最も利用されているHTTPクライアントライブラリの一つである axios がサプライチェーン攻撃を受けました。攻撃者はリードメンテナーのアカウントを乗っ取り、マルウェアを含む2つのバージョンを公開しています。項目内容侵害バージョンaxios@1.14.1、axios@0.30.4安全なバージョンaxios@1.14.0（1.x系）、axios@0.30.3（0.x系）悪意あるパッケージplain-crypto-js@4.2.1マルウェア種別クロスプラットフォームRAT（Remote Access Trojan）ドロッパー影響規模npm 週間ダウンロード数 1億超検知StepSecurity、Socket AI!axios@1.14.1 または axios@0.30.4 をインストールした場合、そのシステムは侵害済みと見なしてください。何が起きたのか攻撃の経緯StepSecurity の報告によると、攻撃者は axios のリードメンテナーである jasonsaayman の npm アカウント認証情報を窃取しました。通常の GitHub Actions CI/CD パイプラインを完全にバイパスし、以下の手順で攻撃を実行しています。アカウント乗っ取り — メンテナーのnpmアカウントのメールアドレスを攻撃者管理のProtonMailアドレス（ifstap@proton.me）に変更悪意ある依存の事前配置 — plain-…