【緊急】JavaScript ライブラリ axiosのnpmが乗っ取られる-1.14.1と0.30.4は導入済みなら侵害前提で対応が必要
1: 稼げる名無しさん :2026/03/31(火) 17:21:30.53 ID:L1Q2MBsx
JavaScriptの代表的HTTPクライアントであるAxiosで、npm配布パッケージ自体が改ざんされるサプライチェーン攻撃が確認されました。StepSecurityによると、悪意あるバージョンはaxios@1.14.1 と axios@0.30.4で、攻撃者はAxiosの主要メンテナーのnpm資格情報を奪い、通常のGitHub Actionsによる公開フローを迂回してnpm CLIから直接公開したとされています。
https://rocket-boys.co.jp/security-measures-lab/npm-axios-hijack-v1-14-1-v0-30-4-assume-breach/
https://rocket-boys.co.jp/security-measures-lab/npm-axios-hijack-v1-14-1-v0-30-4-assume-breach/
1001: 以下名無しさんに代わりまして管理人がお伝えします 1848/01/24(?)00:00:00 ID:money_soku
うおおおお・・・。
これは情シス大慌て案件では。
これは情シス大慌て案件では。
調べたところ、ごく短時間だけ公開されていたみたいだな。
もし該当バージョンが導入されていれば、すぐに対応が必要だ。
詳細(すべてUTC時間)
axios@1.14.1 (mailto:axios@1.14.1):2026年3月31日 00:21 に公開
axios@1.14.1 (mailto:axios@1.14.1):2026年3月31日 00:21 に公開
axios@0.30.4 (mailto:axios@0.30.4):2026年3月31日 01:00 に公開(約39分後)
公開期間は以下の通り非常に短かった:
1.14.1 の公開期間:約2時間53分
1.14.1 の公開期間:約2時間53分
0.30.4 の公開期間:約2時間15分
npm側が検知後、約03:15頃に両バージョンを削除した模様
対象となるプロジェクト
対象となるプロジェクト
この時間内にnpm install / npm update をその時間帯に実行したプロジェクトが対象
確認方法
確認方法
lockfile(package-lock.json など)を確認して該当バージョンが入っていないかチェックを
