🔥 この記事の詳細
2026-04-13 更新
B
今週中

北朝鮮に関連する攻撃者が、広く利用されているJavaScriptライブラリ「Axios」のサプライチェーンを攻撃しました

脆弱性🌐 英語ソース
📅 2026-04-13📰 securityweek
📌 一言でいうと
北朝鮮に関連する攻撃者が、広く利用されているJavaScriptライブラリ「Axios」のサプライチェーンを攻撃しました。攻撃者はメンテナーのNPMアカウントを乗っ取り、Windows、macOS、Linuxで動作するRATを配布する悪意のあるパッケージを公開しました。OpenAIなどの組織が影響を受け、macOSアプリの署名プロセスにおいて悪意のあるバージョンが実行されたことが報告されています。
🏢影響範囲
Axiosライブラリを利用している世界中のソフトウェア開発者、およびそのライブラリを組み込んだアプリケーションを利用する組織(OpenAIを含む)。
該当時の対応
1. プロジェクトで使用しているAxiosのバージョンを確認し、悪意のあるバージョン(v1.14.1等)が含まれていないか検証すること。2. 依存関係のロックファイル(package-lock.json等)を適切に管理し、意図しないアップデートを防止すること。3. CI/CDパイプラインにおける外部ライブラリの取得プロセスにセキュリティスキャンを導入すること。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Axios サプライチェーン攻撃への対応について

お疲れさまです。Axiosライブラリを標的としたサプライチェーン攻撃に関する情報共有です。

■ 概要
北朝鮮系アクターがAxiosのメンテナーアカウントを侵害し、悪意のあるNPMパッケージ(v1.14.1等)を配布しました。このパッケージは、Windows/macOS/Linuxで動作するリモートアクセスツール(RAT)をインストールさせるものです。OpenAI社ではGitHub Actionsのワークフローを通じて影響を受けたことが報告されています。

■ 影響範囲
- Axiosライブラリ(特に悪意のあるバージョン v1.14.1 を使用した環境)
- Axiosを依存関係に持つNode.jsアプリケーションおよびビルドパイプライン

■ 対応手順
1. 開発プロジェクトおよびCI/CD環境におけるAxiosのバージョンを確認してください。
2. 悪意のあるバージョンが検出された場合は、直ちにクリーンなバージョンへ更新し、影響を受けた環境(認証情報や証明書を含む)のローテーションを検討してください。
3. 依存関係の固定(Lockfileの利用)および脆弱性スキャン(npm audit等)を徹底してください。

■ 参考情報
- SecurityWeek: OpenAI Impacted by North Korea-Linked Axios Supply Chain Hack

対応優先度: 高
対応期限: 本日中
Subject: [Security Alert] Axios Supply Chain Attack and Remediation

Dear Team,

This is a technical alert regarding a supply chain attack targeting the Axios JavaScript library.

■ Overview
North Korean-linked threat actors compromised a lead maintainer's NPM account to distribute malicious versions of the Axios library (e.g., v1.14.1). These packages are designed to deploy a cross-platform Remote Access Trojan (RAT). OpenAI has reported that their macOS app-signing workflow was impacted via GitHub Actions.

■ Scope
- Applications and build pipelines utilizing the Axios library.
- Specifically, environments that may have pulled the malicious v1.14.1 package.

■ Remediation Steps
1. Audit all project dependencies and CI/CD pipelines to identify the use of Axios v1.14.1.
2. If detected, immediately update to a verified safe version and rotate any secrets, certificates, or credentials that were accessible to the affected environment.
3. Enforce the use of lockfiles (package-lock.json / yarn.lock) and integrate automated dependency scanning into the pipeline.

■ Reference
- SecurityWeek: OpenAI Impacted by North Korea-Linked Axios Supply Chain Hack

Priority: High
Deadline: Immediate
🔗 元の記事を読む
← トップへ戻る🗓 2026-04-13 のまとめ🔍 記事を検索