Axios npmにサプライチェーン攻撃、認証キーの即時変更を

• 人気の JavaScript HTTP クライアントライブラリである Axios がサプライチェーン攻撃を受け、セキュリティ警告が発令されました。
• Axios バージョン 1.14.1 および 0.30.4 が改ざんされ、悪意のあるコードが含まれていることが確認されました。
• 開発者およびユーザーに対し、影響を受けた環境で使用されているすべての API キー、ログイン認証情報、セッション・トークンの即時変更が推奨されています。

悪意のあるリリースの発見

サイバーセキュリティ企業の Socket と OX Security は、広く利用されている npm パッケージ Axios の 2 つのリリースが侵害されたことを報告しました。対象となるバージョン axios@1.14.1 および axios@0.30.4 は、plain-crypto-js@4.2.1 という悪意のある依存関係を含むように修正されていました。この依存関係は攻撃の直前に公開されたもので、インストール時のポストインストールスクリプトを通じて自動的に実行されるよう設計されていました。

OX Security によると、改ざんされたコードは攻撃者に感染デバイスへのリモートアクセスを許可します。この不正アクセスにより、以下のような機密データが窃取される可能性があります：

• ログイン認証情報およびセッション・トークン
• 各種サービスで使用される API キー
• 暗号資産（仮想通貨）ウォレット情報

開発者への影響と推奨事項

この事件は、単一のコンポーネントの侵害が数千の下流アプリケーションに波及する可能性があるオープンソース・エコシステムの脆弱性を浮き彫りにしました。Socket は、悪意のあるスクリプトがユーザーの操作なしに実行されるため、これらの Axios バージョンをダウンロードしたシステムは「完全に侵害された」ものとして扱うべきであると指摘しています。

セキュリティ専門家は、開発者がプロジェクトの依存関係ファイルを直ちに確認することを推奨しています。影響を受けるバージョンが見つかった場合は、削除するか、安全が確認されているバージョンにロールバックする必要があります。さらに、さらなる悪用を防ぐために、それらのシステムに保存されている、あるいはアクセス可能なすべての認証情報を更新する必要があります。

サプライチェーン脆弱性の背景

今回の侵害は、暗号資産セクターを標的としたサプライチェーン攻撃のパターンに沿ったものです。1月3日には、オンチェーン捜査官の ZachXBT が、イーサリアム仮想マシン（EVM）互換ネットワーク上の数百のウォレットから資金が流出したと報告しました。Vladimir S. などの研究者は、これらの事件が 12月に発生した Trust Wallet の侵害に関連している可能性を示唆しています。

過去の Trust Wallet の事例では、2,500 以上のウォレットから約 700 万ドルが失われましたが、これも開発ワークフローで使用されていた npm パッケージのサプライチェーン攻撃が原因であったとされています。これらの一連の事件は、金融やブロックチェーンアプリケーションで使用されるサードパーティ製ライブラリに対する厳格なセキュリティ監査の重要性を強調しています。