axiosのnpm侵害が波紋 悪意ある1.14.1と0.30.4は直ちに隔離対象
Original: Axios compromised on NPM – Malicious versions drop remote access trojan View original →
2026年3月31日、Hacker NewsではJavaScript ecosystem全体に影響し得るnpm supply-chain incidentが急速に共有された。StepSecurityがaxiosの悪意あるreleaseを公開した後、同日のHN threadは720 pointsと233 commentsを超え、広く使われるHTTP clientが標的になったことへの警戒が一気に高まった。
何が起きたのか
StepSecurityのincident reportによれば、問題のversionは[email protected]と[email protected]だ。報告では、lead maintainerの盗まれたnpm credentialsが使われ、通常のGitHub ActionsとOIDC Trusted Publisher経路を通らずに手動publishされたとされている。攻撃者はaccount emailもProtonMail addressへ変更したという。
- 悪意あるaxios packageには
[email protected]というruntime dependencyが追加された。 - このdependencyはaxios source codeではimportされておらず、
postinstallscriptを動かすためだけに使われたとStepSecurityは見ている。 - そのscriptはmacOS、Windows、Linuxを狙うcross-platform RAT dropperとして動作し、live C2 serverへ接続したと報告されている。
タイムラインも具体的だ。先に正常に見えるdecoy packageが公開され、その後に悪意ある[email protected]、さらに39分差で2つのaxios releaseが投入された。その後npmは該当するaxios versionを削除し、dependencyをsecurity-holder stubへ置き換えた。StepSecurityの結論は明確で、[email protected]または[email protected]を入れたsystemは侵害済みとして扱うべきだとしている。
なぜ重要か
今回のincidentが厄介なのは、axios本体のsource codeに露骨な悪意ある変更を入れず、dependency graphとinstall時実行を悪用した点にある。つまりapplication codeのdiffだけでは見抜きにくく、registry provenance、trusted publishing、想定外のpostinstall挙動を合わせて確認しなければならない。
JavaScript dependencyをpinしたり監査したりするチームにとって、これは公開元metadataとCI発行経路の確認が不可欠だという再確認になる。原典はStepSecurity write-up、コミュニティ反応はHacker News threadで追える。
Related Articles
2026年5月11日、攻撃者がGitHub Actionsの3つの脆弱性を連鎖させ、42個の@tanstack/*パッケージに84本の悪意あるバージョンを公開した。影響を受けたバージョンをインストールした開発者はすべての認証情報を直ちに更新する必要がある。
Kuaishou傘下のAI動画部門Klingが$2.8Bを調達し、評価額は約$18Bに達した。追加投資でラウンドは最大$3Bまで拡大し、Kuaishouの持ち分は68.33%まで下がる可能性がある。
公開Issueに埋め込んだ指示がprivate repositoryへのアクセスにつながる可能性が示され、HNではagent権限の切り方が論点になった。