オープンソースのJavaScript HTTPクライアント「Axios」に不正なコードが仕込まれたサプライチェーン攻撃。発端となったソーシャルエンジニアリングの手口が明らかになったことで、標的はAxiosにとどまらず、オープンソースエコシステムを狙った攻撃が他にも多発している実態が浮かび上がった。

攻撃者は何かしらの方法で入手したaxiosメンテナーの認証情報を悪用し、改ざんしたパッケージ「axios@1.14.1」および「axios@0.30.4」を公開したとされる。これらパッケージには依存関係として「plain-crypto-js@4.2.1」が挿入されており、このパッケージが ...

2026年3月31日、JavaScriptで最も使われているHTTPライブラリの一つ「axios」がサプライチェーン攻撃を受けました。 npmに公開された悪意あるバージョンは2つ。`axios@1.14.1`と`axios@0.30.4`。公開から削除まで約3時間。この間に`npm install`を実行した開発者のマシンには ...

現代のWeb開発において、JavaScriptライブラリ「axios」はもはや単なるツールではなく、インターネットを支える不可欠なインフラストラクチャです。 週に1億回以上のダウンロード数を誇るこのライブラリは、無数のエンタープライズアプリケーションやCI/CD ...

Developers Summit 2026・Dev x PM Day 講演資料まとめ Developers Boost 2025 講演資料まとめ Developers X Summit 2025 講演資料まとめ Developers Summit 2025 FUKUOKA 講演関連資料まとめ Developers Summit 2025 KANSAI 講演関連資料まとめ Developers ...

マイクロソフトは4月1日、オープンソースのJavaScript HTTPクライアント「Axios」にマルウェアが組み込まれていた問題について、主な手口と犯行グループに関する情報を公開した。 マイクロソフトによると、今回の手口は大きく2段階にわかれている。 第1段階 ...

JavaScriptライブラリ「Axios」がサプライチェーン攻撃を受けてリモートアクセス型トロイの木馬を仕込まれた件で、Googleのセキュリティ研究者が調査報告書を提出しました。Googleは、早くとも2018年から活動している北朝鮮関連の脅威アクター「UNC1069」が関与 ...

一連の攻撃には、北朝鮮の集団「UNC1069」が絡んでいると専門家は推測する。米Google傘下のセキュリティ企業Mandiantは2月の時点で、UNC1069が暗号資産を標的に、AI生成動画なども駆使して狙った相手をだます手口を進化させていると伝えていた。 いずれの攻撃 ...

OpenAIは4月11日、macOS向け自社アプリのセキュリティ証明書を更新すると発表。ChatGPT DesktopやCodex App、Codex CLI、Atlasで、すべてのユーザーに最新版への更新を呼びかけた。3月31日に発生した、JavaScriptライブラリ「Axios」のサプライチェーン攻撃が背景にある。

この攻撃ではノードパッケージマネージャー(npm: Node Package Manager)から悪意のあるaxios@1.14.1およびaxios@0.30.4が配布され、当該バージョンをインストールしたWindows、macOS、Linux環境に遠隔操作型トロイの木馬(RAT: Remote Administration Trojan)が展開された。被害環境は ...