B
今週中
Axiosのnpmパッケージにおいて、サプライチェーン攻撃による侵害
📌 一言でいうと
Axiosのnpmパッケージにおいて、サプライチェーン攻撃による侵害が確認されました。影響を受けるバージョン(1.14.1および0.30.4)では、悪意のある依存関係である[email protected]が注入され、リモートアクセストロジャンを含むマルチステージペイロードがダウンロードされます。CISAは、開発環境やCI/CDパイプラインの監視と、安全なバージョンへの固定を推奨しています。
🏢影響範囲
Node.jsおよびブラウザ環境でAxiosを使用している世界中の開発者および組織
✅該当時の対応
コードリポジトリ、CI/CDパイプライン、および開発端末での侵害状況を確認し、影響を受ける依存関係を削除して安全なバージョンに固定すること。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【重要】Axios npmパッケージにおけるサプライチェーン攻撃への対応依頼
お疲れさまです。Axiosのnpmパッケージで確認されたサプライチェーン攻撃に関する情報共有です。
■ 概要
Axiosの特定のバージョンにおいて、悪意のある依存関係([email protected])が注入されるサプライチェーン攻撃が確認されました。これにより、リモートアクセストロジャン(RAT)を含むマルチステージペイロードが攻撃者のインフラからダウンロードされる危険性があります。
■ 影響範囲
- 対象パッケージ: axios
- 影響を受けるバージョン: [email protected], [email protected]
■ 対応手順
1. コードリポジトリ、CI/CDパイプライン、および開発端末において、上記の影響を受けるバージョンが使用されていないか確認してください。
2. 依存関係管理ツールやアーティファクトリポジトリにキャッシュされた影響のあるバージョンを検索し、削除してください。
3. npmパッケージの依存バージョンを、既知の安全なリリースバージョンに固定(Pinning)してください。
4. 侵害が疑われる場合は、環境のクリーンアップおよび影響調査を実施してください。
■ 参考情報
- CISA Alert: Supply Chain Compromise Impacts Axios Node Package Manager
対応優先度: 高(速やかな確認と対応を推奨します)
お疲れさまです。Axiosのnpmパッケージで確認されたサプライチェーン攻撃に関する情報共有です。
■ 概要
Axiosの特定のバージョンにおいて、悪意のある依存関係([email protected])が注入されるサプライチェーン攻撃が確認されました。これにより、リモートアクセストロジャン(RAT)を含むマルチステージペイロードが攻撃者のインフラからダウンロードされる危険性があります。
■ 影響範囲
- 対象パッケージ: axios
- 影響を受けるバージョン: [email protected], [email protected]
■ 対応手順
1. コードリポジトリ、CI/CDパイプライン、および開発端末において、上記の影響を受けるバージョンが使用されていないか確認してください。
2. 依存関係管理ツールやアーティファクトリポジトリにキャッシュされた影響のあるバージョンを検索し、削除してください。
3. npmパッケージの依存バージョンを、既知の安全なリリースバージョンに固定(Pinning)してください。
4. 侵害が疑われる場合は、環境のクリーンアップおよび影響調査を実施してください。
■ 参考情報
- CISA Alert: Supply Chain Compromise Impacts Axios Node Package Manager
対応優先度: 高(速やかな確認と対応を推奨します)
Subject: [Action Required] Supply Chain Compromise in Axios npm Package
Hi all,
This is a security advisory regarding a supply chain compromise affecting the Axios npm package.
■ Overview
It has been reported that specific versions of the Axios npm package have been compromised. Malicious dependency [email protected] was injected, which facilitates the download of multi-stage payloads, including a Remote Access Trojan (RAT), from threat actor infrastructure.
■ Affected Scope
- Package: axios
- Affected Versions: [email protected], [email protected]
■ Remediation Steps
1. Review code repositories, CI/CD pipelines, and developer workstations for the use of the compromised Axios versions.
2. Search for and remove cached versions of the affected dependencies in artifact repositories and dependency management tools.
3. Pin npm package dependency versions to known safe releases to prevent accidental installation of compromised versions.
4. If a compromise is identified, revert the environment and initiate incident response procedures.
■ Reference
- CISA Alert: Supply Chain Compromise Impacts Axios Node Package Manager
Priority: High (Prompt remediation is strongly recommended)
Hi all,
This is a security advisory regarding a supply chain compromise affecting the Axios npm package.
■ Overview
It has been reported that specific versions of the Axios npm package have been compromised. Malicious dependency [email protected] was injected, which facilitates the download of multi-stage payloads, including a Remote Access Trojan (RAT), from threat actor infrastructure.
■ Affected Scope
- Package: axios
- Affected Versions: [email protected], [email protected]
■ Remediation Steps
1. Review code repositories, CI/CD pipelines, and developer workstations for the use of the compromised Axios versions.
2. Search for and remove cached versions of the affected dependencies in artifact repositories and dependency management tools.
3. Pin npm package dependency versions to known safe releases to prevent accidental installation of compromised versions.
4. If a compromise is identified, revert the environment and initiate incident response procedures.
■ Reference
- CISA Alert: Supply Chain Compromise Impacts Axios Node Package Manager
Priority: High (Prompt remediation is strongly recommended)