Axiosに深刻なサプライチェーン攻撃——npmパッケージが改ざん、RATを配布

npmの人気パッケージが侵害される

2026年3月30日から31日にかけて、JavaScriptの人気HTTPクライアント「Axios」のnpmパッケージがサプライチェーン攻撃の被害を受けました。攻撃者はAxiosのメンテナーのnpmアカウントを乗っ取り、悪意のあるコードを含む改ざんされたバージョンを公開しました。

攻撃の詳細

改ざんされたバージョン

• バージョン 1.14.1
• バージョン 0.30.4

悪意のあるペイロード

攻撃者は plain-crypto-js@4.2.1 という偽の依存関係を組み込みました。このパッケージはインストール後のフック（post-install hook）を実行し、以下を配布します：

• クロスプラットフォームのRAT（リモートアクセス型トロイの木馬）
• 対応OS: macOS、Windows、Linux

RATは完全なシステムアクセス権を攻撃者に与え、データ盗難、認証情報の抽出、追加のマルウェア配布などが可能となります。

影響範囲

この攻撃が特に危険な理由は、Axiosが以下の環境で広く使用されているためです：

• ウェブアプリケーション開発 — フロントエンド・バックエンド両方
• ノードベースのバックエンド — APIサーバー、マイクロサービス
• 企業向けシステム — 多くの組織がAxiosに依存

該当期間中にこれらの改ざんされたバージョンをインストールしたすべてのシステムは、完全に侵害されていると見なされます。

検出と対応

検出タイミング

自動スキャナーが公開からわずかな時間で悪意のあるパッケージを検出し、アラートが発行されました。

緊急の対策が必要

影響を受けた可能性のあるシステムは、以下の対策を直ちに実施してください：

1. システムの隔離

   • 該当期間（3月30～31日）にバージョン1.14.1または0.30.4をインストール・アップデートしたシステムをネットワークから切断
   • ローカルスタンドアロンで対応

2. 認証情報の再発行

   • すべてのAPIキー、トークン、パスワードを無効化
   • 新しい認証情報を発行
   • 関連するサービスで再認証を強制実施

3. システムの再構築

   • クリーンな状態から完全に再構築
   • 信頼できるバージョンのみを使用

4. ログの確認

   • システムログ、ネットワークトラフィック、認証ログで異常な活動がないか確認
   • RAT由来の外部通信の痕跡を検査

npm エコシステムへの影響

この攻撃はnpm依存関係チェーン全体への信頼を揺るがします。開発者コミュニティに対して、以下の教訓を与えています：

• 依存関係の管理 — 自動アップデートは危険。バージョン管理を厳格化
• セキュリティスキャン — すべてのインストール済みパッケージを定期的に監査
• 多要素認証 — npmアカウント所有者による2FAの強制

対応状況

npm Security Teamは以下の対応を実施：

• 改ざんされたバージョンを削除
• Axiosメンテナーのアカウントをリセット
• 公式にセキュリティアラートを発行
• クリーンなバージョンの確認と提供

今後の予防策

開発チーム、セキュリティ担当者、依存関係管理ツール（npm audit、Snyk、Dependabotなど）の強化が急務です。

関連データ

• 攻撃期間: 2026年3月30日～31日
• 改ざんバージョン: 1.14.1、0.30.4
• 偽の依存関係: plain-crypto-js@4.2.1
• ペイロード: クロスプラットフォームRAT
• 推定影響: Axiosの広い利用に伴い、数千～数万のシステムが潜在的に影響を受けた可能性