広場
最新
注目
ニュース
プロフィール
ポスト
TopEscapeArtist
2026-04-27 12:16:37
フォロー
先ほど非常深刻なサプライチェーンのセキュリティ事件を目にしました。axiosというJavaScriptで最も一般的に使われているHTTPクライアントライブラリが攻撃を受けました。
事情は次の通りです。攻撃者はaxiosのメインメンテナのnpmアクセストークンを盗み、その後、リモートアクセスのトロイの木馬を含む悪意のあるバージョンを2つ公開しました。具体的にはaxios@1.14.1とaxios@0.3.4で、macOS、Windows、Linux上で動作可能です。これらの悪意のあるパッケージはnpm上で約3時間存続し、その後発見されて削除されました。
最も恐ろしいのは影響範囲です。axiosは週に1億回以上ダウンロードされており、セキュリティ企業Wizのデータによると、約80%のクラウド環境やコード環境にaxiosが存在しています。セキュリティ企業Huntressは迅速に対応し、悪意のあるパッケージが公開されてから2分も経たずに最初の感染を検知し、少なくとも135のシステムが侵害されたことを確認しました。
さらに注目すべきは、axiosのプロジェクト自体はすでに現代的なセキュリティ対策を導入している点です。例えば、OIDC信頼リリースメカニズムやSLSAのトレーサビリティ証明などです。しかし、攻撃者はこれらを完全に回避しました。調査の結果、問題は設定にありました。axiosはOIDCを有効にしながらも、従来の長期有効なNPM_TOKENを保持しており、npmは両者が共存している場合、デフォルトで従来のトークンを優先して使用していたのです。これが攻撃者にとっての隙となりました。
この事件は、セキュリティツールだけでは不十分であり、設定やフローの管理も同様に重要であることを示しています。多くのオープンソースプロジェクトも同様のリスクに直面している可能性があります。
原文表示
このページには第三者のコンテンツが含まれている場合があり、情報提供のみを目的としております(表明・保証をするものではありません)。Gateによる見解の支持や、金融・専門的な助言とみなされるべきものではありません。詳細については
免責事項
をご覧ください。
報酬
いいね
コメント
リポスト
共有
コメント
コメントを追加
コメントを追加
コメント
コメントなし
人気の話題
もっと見る
#
WCTCTradingKingPK
332.1K 人気度
#
CryptoMarketsDipSlightly
231.83K 人気度
#
IsraelStrikesIranBTCPlunges
35.21K 人気度
#
#DailyPolymarketHotspot
662K 人気度
#
SolanaReleasesQuantumRoadmap
12.75M 人気度
ピン
サイトマップ
先ほど非常深刻なサプライチェーンのセキュリティ事件を目にしました。axiosというJavaScriptで最も一般的に使われているHTTPクライアントライブラリが攻撃を受けました。
事情は次の通りです。攻撃者はaxiosのメインメンテナのnpmアクセストークンを盗み、その後、リモートアクセスのトロイの木馬を含む悪意のあるバージョンを2つ公開しました。具体的にはaxios@1.14.1とaxios@0.3.4で、macOS、Windows、Linux上で動作可能です。これらの悪意のあるパッケージはnpm上で約3時間存続し、その後発見されて削除されました。
最も恐ろしいのは影響範囲です。axiosは週に1億回以上ダウンロードされており、セキュリティ企業Wizのデータによると、約80%のクラウド環境やコード環境にaxiosが存在しています。セキュリティ企業Huntressは迅速に対応し、悪意のあるパッケージが公開されてから2分も経たずに最初の感染を検知し、少なくとも135のシステムが侵害されたことを確認しました。
さらに注目すべきは、axiosのプロジェクト自体はすでに現代的なセキュリティ対策を導入している点です。例えば、OIDC信頼リリースメカニズムやSLSAのトレーサビリティ証明などです。しかし、攻撃者はこれらを完全に回避しました。調査の結果、問題は設定にありました。axiosはOIDCを有効にしながらも、従来の長期有効なNPM_TOKENを保持しており、npmは両者が共存している場合、デフォルトで従来のトークンを優先して使用していたのです。これが攻撃者にとっての隙となりました。
この事件は、セキュリティツールだけでは不十分であり、設定やフローの管理も同様に重要であることを示しています。多くのオープンソースプロジェクトも同様のリスクに直面している可能性があります。