【緊急】axiosがサプライチェーン攻撃に遭遇:汚染バージョン(1.14.1 / 0.30.4)と今すぐ取るべき対策
2026年3月31日、世界で最も利用されているHTTPクライアントライブラリの一つである「axios」のnpmパッケージが侵害されました。攻撃者はメンテナーのnpmアカウントを乗っ取り、マルウェアを依存関係に含ませた汚染バージョンを直接パブリッシュするという、典型的なサプライチェーン攻撃を実行しました。
axiosのバージョン 1.14.1 および 0.30.4 が侵害されました。これらは plain-crypto-js という悪意あるパッケージを依存に追加しており、インストール時にRAT(遠隔操作ツール)をドロップします。即座に 1.14.0 または 0.30.3 へのダウングレードを実行してください。
01. 発生の概要:メンテナーのアカウント乗っ取り
今回の攻撃は、axiosの主要なメンテナーの一人である jasonsaayman 氏のnpmアカウントが侵害されたことに起因します。攻撃者はnpmの正規のリリースライン(GitHub Actionsを通じたOIDC署名付きリリース)を完全にバイパスし、npm CLIから直接汚染されたパッケージをアップロードしました。
攻撃の露出時間は約2時間〜3時間程度でしたが、axiosのダウンロード数を考えれば数万人以上の開発者が影響を受けた可能性があります。
02. 影響を受けるバージョンと悪意あるパッケージ
侵害されたバージョンは以下の通りです:
- axios@1.14.1(最新安定版系)
- axios@0.30.4(レガシー系)
以上のバージョンの package.json には、本来不要な plain-crypto-js という依存関係が追加されています。このパッケージの postinstall フックが実行されることで、システムが感染します。
03. 潜伏するRAT(遠隔操作ツール)の検知方法
plain-crypto-js は、インストール後にOSに応じたRATをバックグラウンドで実行します。実行後に自身を node_modules から消去したり、package.json を書き戻したりして痕跡を隠蔽する巧妙な仕組みを持っています。
プラットフォーム別のIoC(侵害の痕跡)
- macOS:
/Library/Caches/com.apple.act.mond - Windows:
%PROGRAMDATA%\wt.exe,%TEMP%\6202033.vbs - Linux:
/tmp/ld.py
C2サーバー(指令サーバー)への通信先:sfrclak[.]com:8000
04. 即時対応:ダウングレードとクリーンアップ
もし npm ls axios 等で汚染バージョンが検知された場合、以下の手順を直ちに実施してください。
# 1. 悪意のあるディレクトリの削除
rm -rf node_modules/plain-crypto-js
# 2. 安全なバージョンへのダウングレード
# ※--ignore-scripts を必ず付け、マルウェアの再実行を防ぐ
npm install axios@1.14.0 --ignore-scripts
# または
npm install axios@0.30.3 --ignore-scripts
# 3. 各OSごとのバックドアファイルの削除(例:macOS)
rm -f /Library/Caches/com.apple.act.mond単なるバージョン変更ではなく、--ignore-scripts を使用してスクリプトの再実行を防ぎつつダウングレードを行うことが重要です。
05. 二次被害防止:クレデンシャル・ローテーション
汚染されたバージョンが一度でも実行された環境では、「全ての秘密情報が漏洩した」と仮定して行動すべきです。
- 環境変数(
.env)に記載されたAPIキーの再発行 - AWS / GCP などのクラウドプロバイダーの環境変数の変更
- SSH秘密鍵の再生成
- npm、GitHub等のログインパスワード・トークンの変更
年度末の忙しい時期にこのような大きな事案が発生したことは非常に不幸ですが、これを機にチームのセキュリティ意識を底上げし、より堅牢な開発体制を築いていきましょう。 「明日は我が身」という健全な危機感を持つことが、最大の防御となります。