Axios NPMパッケージがサプライチェーン攻撃で侵害される

2026年3月31日午後1:28 UTC更新:この記事は、Hackenのシニアオフェンシブセキュリティエンジニア、Abdelfattah Ibrahimのコメントを追加するために更新されました。

2つの悪意のあるAxios npmリリースにより、サプライチェーン攻撃が人気のJavaScript HTTPクライアントライブラリを汚染した後、開発者に対して認証情報をローテーションし、影響を受けたシステムを侵害されたものとして扱うよう警告が発せられました。

この侵害は、サイバーセキュリティー企業Socketによって最初に報告され、[email protected]と[email protected]が、npmから削除される前にインストール中に自動的に実行される悪意のある依存関係である[email protected]を取り込むように変更されたと述べました。

セキュリティー企業OX Securityによると、変更されたコードは攻撃者に感染したデバイスへのリモートアクセスを与え、ログイン認証情報、APIキー、暗号資産ウォレット情報などの機密データを盗むことを可能にします。

この事件は、単一の侵害されたオープンソースコンポーネントが、それに依存する何千ものアプリケーションに波及し、開発者だけでなく、システムに接続されているプラットフォームやユーザーも露出させる可能性があることを示しています。 

セキュリティー企業はキーのローテーション、システム監査を促す

OX Securityは、[email protected]または[email protected]をインストールした開発者に対し、システムを完全に侵害されたものとして扱い、APIキーやセッショントークンを含む認証情報を直ちにローテーションするよう警告しました。

Socketは、侵害されたAxiosリリースが、事件の直前に公開され、後に悪意のあるものと特定されたパッケージである[email protected]への依存関係を含むように変更されたと述べました。

関連記事: Trust Walletブラウザ拡張機能がChrome Storeの「バグ」でオフラインに、CEOが語る

同社は、この依存関係がインストール後スクリプトを通じてインストール中に自動的に実行されるように設定されており、攻撃者が追加のユーザー操作なしにターゲットシステム上でコードを実行できるようにしたと述べました。

Socketは、開発者に対して、影響を受けたAxiosバージョンと関連する[email protected]パッケージについてプロジェクトと依存関係ファイルを確認し、侵害されたバージョンを直ちに削除またはロールバックするようアドバイスしました。

HackenのシニアオフェンシブセキュリティエンジニアであるAbdelfattah Ibrahimは、Cointelegraphに対し、この侵害はバックエンド操作でAxiosに依存する暗号資産関連アプリケーションに深刻な影響を与える可能性があると語りました。

「AxiosはAPI呼び出しにおいて重要な役割を果たしているため、暗号資産を扱う分散型アプリケーション(DApp)やアプリにとっては悪いニュースです」と彼は述べ、影響を受けるシステムには取引所統合、ウォレット残高チェック、トランザクションブロードキャストが含まれる可能性があると指摘しました。

Ibrahimは、攻撃で展開されたマルウェアは完全なリモートアクセストロイの木馬として機能し、攻撃者が侵害されたシステムと直接やり取りできるようにすると述べました。彼はまた、この事件がサプライチェーンリスクの処理方法における広範な弱点を浮き彫りにしていると付け加えました。

以前の暗号資産事件がサプライチェーンリスクを浮き彫りに

以前の暗号資産事件は、サプライチェーン侵害が開発者情報の盗難からユーザー向けウォレット損失へとどのようにエスカレートするかを示しています。

1月3日、オンチェーン調査員ZachXBTは、イーサリアムブロックチェーン仮想マシン互換ネットワーク全体で「数百」のウォレットが、各被害者から少額を吸い上げる広範な攻撃で流出したと報告しました。 

サイバーセキュリティー研究者Vladimir S.は、この事件は12月にTrust Walletに影響を与えた侵害に関連している可能性があり、2,500以上のウォレットで約700万ドルの損失をもたらしたと述べました。 

Trust Walletは後に、侵害が開発ワークフローで使用されるnpmパッケージに関するサプライチェーン侵害に起因している可能性があると述べました。

Magazine: 量子セキュア暗号が機能するかどうか誰も知らない