B
今週中
HTTPクライアントライブラリ「axios」のnpmリポジトリでサプライチェーン攻撃
📌 一言でいうと
HTTPクライアントライブラリ「axios」のnpmリポジトリでサプライチェーン攻撃が確認されました。攻撃者はメンテナンス者のアカウントを乗っ取り、悪意のある依存関係「[email protected]」を含むバージョン(1.14.1および0.30.4)を公開しました。このパッケージをインストールすると、OSに応じたリモートアクセスツール(RAT)が展開され、持続的な遠隔操作を受ける可能性があります。
🔍該当判定
- JavaScript/TypeScriptを用いてWebアプリやシステムを開発している
- npm(パッケージ管理ツール)を利用してライブラリをインストールしている
- プロジェクト内で『axios』というライブラリのバージョン 1.14.1 または 0.30.4 を使用している
上記いずれにも該当しない → 静観でOK
✅該当時の対応
1. axiosのバージョンを確認し、影響を受けるバージョン(1.14.1, 0.30.4)を使用していないか確認してください。
2. 影響を受けるバージョンを使用している場合は、直ちに安全なバージョン(1.14.0以下または0.30.3以下)へダウングレードするか、修正版が提供された場合は更新してください。
3. 依存関係に [email protected] が含まれていないか確認し、検出された場合はシステム上の不審なプロセスや永続化設定を調査してください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】axios npmパッケージにおけるサプライチェーン攻撃への対応について
お疲れさまです。axiosに関するセキュリティインシデントの情報共有です。
■ 概要
axiosのメンテナンス者アカウントが乗っ取られ、悪意のある依存パッケージ([email protected])を含むバージョンがnpmに公開されました。インストール時に実行されるsetup.jsにより、OSに応じたRAT(遠隔操作ツール)が配備され、攻撃者にシステムを制御される恐れがあります。
■ 影響範囲
- 対象バージョン: axios v1.14.1, v0.30.4
- 影響OS: Windows, macOS, Linux
■ 対応手順
1. プロジェクトの package-lock.json または yarn.lock を確認し、axios v1.14.1 または v0.30.4 が導入されていないか確認してください。
2. 該当バージョンが検出された場合、直ちに安全なバージョン(v1.14.0以下 / v0.30.3以下)への変更を検討してください。
3. 既に導入していた環境では、不審なアウトバウンド通信や未知のプロセスの有無を確認してください。
■ 参考情報
- GitHub Issue: https://github.com/axios/axios/issues/10604
対応優先度: 高
対応期限: 至急
お疲れさまです。axiosに関するセキュリティインシデントの情報共有です。
■ 概要
axiosのメンテナンス者アカウントが乗っ取られ、悪意のある依存パッケージ([email protected])を含むバージョンがnpmに公開されました。インストール時に実行されるsetup.jsにより、OSに応じたRAT(遠隔操作ツール)が配備され、攻撃者にシステムを制御される恐れがあります。
■ 影響範囲
- 対象バージョン: axios v1.14.1, v0.30.4
- 影響OS: Windows, macOS, Linux
■ 対応手順
1. プロジェクトの package-lock.json または yarn.lock を確認し、axios v1.14.1 または v0.30.4 が導入されていないか確認してください。
2. 該当バージョンが検出された場合、直ちに安全なバージョン(v1.14.0以下 / v0.30.3以下)への変更を検討してください。
3. 既に導入していた環境では、不審なアウトバウンド通信や未知のプロセスの有無を確認してください。
■ 参考情報
- GitHub Issue: https://github.com/axios/axios/issues/10604
対応優先度: 高
対応期限: 至急
Subject: [Security Alert] Supply Chain Attack on axios npm Package
Dear Team,
We are sharing critical information regarding a supply chain attack affecting the axios HTTP client library.
■ Overview
An attacker compromised a maintainer's account and published malicious versions of axios to the npm registry. These versions include a compromised dependency, [email protected], which executes a setup script to deploy a Remote Access Trojan (RAT) based on the target operating system.
■ Affected Scope
- Affected Versions: axios v1.14.1, v0.30.4
- Affected OS: Windows, macOS, Linux
■ Mitigation Steps
1. Audit your project's package-lock.json or yarn.lock to identify if axios v1.14.1 or v0.30.4 is being used.
2. If detected, immediately downgrade to a known safe version (v1.14.0 or below / v0.30.3 or below) or update to a patched version.
3. For environments where these versions were installed, perform a forensic check for suspicious outbound network traffic or unauthorized persistent processes.
■ Reference
- GitHub Issue: https://github.com/axios/axios/issues/10604
Priority: High
Deadline: Immediate
Dear Team,
We are sharing critical information regarding a supply chain attack affecting the axios HTTP client library.
■ Overview
An attacker compromised a maintainer's account and published malicious versions of axios to the npm registry. These versions include a compromised dependency, [email protected], which executes a setup script to deploy a Remote Access Trojan (RAT) based on the target operating system.
■ Affected Scope
- Affected Versions: axios v1.14.1, v0.30.4
- Affected OS: Windows, macOS, Linux
■ Mitigation Steps
1. Audit your project's package-lock.json or yarn.lock to identify if axios v1.14.1 or v0.30.4 is being used.
2. If detected, immediately downgrade to a known safe version (v1.14.0 or below / v0.30.3 or below) or update to a patched version.
3. For environments where these versions were installed, perform a forensic check for suspicious outbound network traffic or unauthorized persistent processes.
■ Reference
- GitHub Issue: https://github.com/axios/axios/issues/10604
Priority: High
Deadline: Immediate