npmの最も広く使用されているHTTPクライアントライブラリの1つが、攻撃者がメンテナのアカウントをハイジャックし、一見合法的な2つのaxiosリリースにリモートアクセストロイの木馬(RAT)を仕込んだ後、一時的にマルウェア配信手段となりました。これは「記録上、最も影響力のあるnpmサプライチェーン攻撃の1つ」と説明されています。
汚染されたバージョン「[email protected]」と「[email protected]」は削除される前にnpmレジストリに登録されましたが、その前に一部の不幸な開発者とCIパイプラインがそれらをプルしていました。axios自体のコードを改ざんするのではなく、侵入者はより巧妙なアプローチを取り、そこにあるべきではない依存関係であり、ライブラリの機能に役割を果たさない依存関係を仕込みました。
Axiosは、開発者がアプリケーション間やWebサービス間にリクエストを送信するために使用する、広く使用されるJavaScript HTTPクライアントです。フロントエンドアプリからバックエンドシステムまであらゆるものに組み込まれており、毎週約1億ダウンロードに達しており、短期間の侵害でさえも急速に広がる可能性があります。
リリースもプロジェクトの通常のビルドプロセスを通じてはいませんでした。セキュリティ企業StepSecurityは、両方のバージョンがプロジェクトの主要なメンテナである「jasonsaayman」の侵害されたnpmアカウント経由で公開されたことを発見しました。パッケージがプッシュされている間に、彼はアカウントからロックアウトされたと報告されています。
攻撃者はアカウントのメールアドレスを匿名のProtonMailインボックスと交換し、npm CLIを介して感染したパッケージを手動でプッシュし、プロジェクトのGitHub Actions CI/CDパイプラインと開発者が配置されていると想定する傾向のあるセーフガードを完全に回避しました。
追加されたパッケージ「[email protected]」は、純粋に配信メカニズムとして存在していました。そのインストール後スクリプトは本拠地に電話をかけ、2段階目のペイロードを取得し、見つけたものに合わせたマルウェアを配布することを開始します。macOSではシステムデーモンとして身を偽装し、Windowsではコンピュータではなく、LinuxではPythonバックドアに頼ります。また、追跡を隠そうとして、ゲームを台無しにする可能性のあるトレースをクリアしています。
StepSecurityは、このキャンペーンは通常のスマッシュアンドグラブnpm妥協をはるかに超えるレベルの計画を示していると述べました。「これは日和見的ではありませんでした」と、同社のCTOおよび共同創業者であるAshish Kurmiは述べています。「悪意のある依存関係は18時間前にステージングされました。3つの異なるペイロードは3つのオペレーティングシステム用に事前構築されました。両方のリリースブランチは39分以内に攻撃されました。すべてのトレースは自己破壊するように設計されました。これはトップ10のnpmパッケージに対して記録されている最も運用的に洗練されたサプライチェーン攻撃の1つです。」
この事件は、npmにとって厳しい時期に起こります。「Shai-Hulud」やその後続の「Shai-Hulud 2.0」などのキャンペーンは、攻撃者がますますソフトウェアサプライチェーン自体をターゲットにし、認証情報を吸い上げる、環境をハイジャックする、または開発者ツール内で静かに永続性を維持するために悪意のあるパッケージをシード化していることを示しています。
影響を受けたバージョンのいずれかをインストールした開発者は、すぐに行動するよう促されています。「[email protected]または[email protected]をインストールした場合、システムが侵害されていると想定してください」とKurmiは述べています。
実際には、これは依存関係を引き抜き、認証情報をローテーションし、一部の人にとっては機械をゼロから再構築することを意味します。axiosがどのように広く使用されているかを考えると、クリーンアップは迅速ではありません。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/03/31/axios_npm_backdoor_rat/
