研究者が確認したところ、侵害されたAxiosバージョンがリモートアクセストロージャンをインストールしていました。
Axiosはnode.js用のプロミスベースHTTPクライアントで、基本的には開発者がアプリケーションをインターネットと通信させるために使用する補助ツールです。例えば、Axiosは「サーバーからメッセージを取得する」や「このフォームをウェブサイトに送信する」といったリクエストをプログラマーにとってより簡単で信頼性の高いものにしており、開発者が低レベルのネットワークコードを自分で書く必要がなくなります。
ブラウザとサーバー(Node.js)の両方で動作するため、多くの最新のJavaScriptベースのプロジェクトでは、標準的な構成要素として含めています。Axiosを自分でインストールしたことがなくても、以下の場合に間接的に遭遇する可能性があります:
- React、Vue、Angularなどのフレームワークで構築されたウェブアプリを使用する場合。
- Electron、React Nativeなどのウェブテクノロジーで構築されたモバイルアプリやデスクトップアプリを使用する場合。
- Axiosを選択した開発者によって構築された小規模なサービス(SaaS)ツール、管理パネル、またはセルフホストサービスにアクセスする場合。
これは、自宅の配管に例えることができます。通常はパイプに気づきませんが、水を蛇口が開いている場所まで運んできます。そして、漏れが発生するまで、それらがどこにあるかを知る必要はありません。
何が起こったのか?
Axiosのリードメンテナーの侵害された認証情報を使用して、攻撃者はnpmに悪意のあるパッケージを公開しました:[email protected]および[email protected]。悪意のあるバージョンは新しい依存関係[email protected]を注入しており、これはaxiosソースコード内のどこにもインポートされていません。
影響を受けた2つのパッケージはnpmで週に最大1億ダウンロードに達しており、つまりウェブアプリ、サービス、パイプライン全体に極めて大きな影響を与えます。
影響を受けたAxiosバージョンはプロジェクトの公式GitHubタグに表示されないことが重要です。これは、影響を受けた人々とプロジェクトが、npm installを実行した開発者と環境であることを意味します:
[email protected]または[email protected]、または- 依存関係の
[email protected]に解決されたもの。
スクリプトが有効な状態で、これらのバージョンのいずれかをインストールしたワークフローは、すべての注入されたシークレット(クラウドキー、リポジトリデプロイキー、npmトークンなど)を対話的な攻撃者に公開している可能性があります。これは、npm installで自動的に実行されるpostinstallスクリプト(node setup.js)が、macOS、Windows、またはLinux用のプラットフォーム固有のRATペイロードを取得する難読化されたドロッパーをダウンロードしたためです。
Axiosをデプロイする開発者の場合は、悪いバージョンをインストールしたあらゆるマシンを潜在的に完全に侵害されたものとして扱い、シークレットをローテーションしてください。攻撃者は、リポジトリアクセス、署名キー、APIキー、または将来のリリースをバックドアするか、バックエンドとユーザーを攻撃するために使用できるその他のシークレットを取得している可能性があります。
Axiosで構築されたユーザーアプリケーションは、心配する直接的な理由がありません。ブラウザでアプリをロードしているだけの場合は、Axios経由でこのRATを直接実行していません。感染経路はインストール/ビルドステップであり、アプリランタイムではありません。
侵害の指標(IOC)
研究者が指摘したように、マルウェアドロッパーは痕跡を自動的に消去します:
「感染後にnode_modules/plain-crypto-js/package.jsonを検査すると、完全にクリーンなマニフェストが表示されます。postinstallスクリプト、setup.jsファイル、および何か悪意のあるものがインストールされた兆候がありません。npm auditを実行するか、インストールされたパッケージディレクトリを手動で確認しても、侵害は明らかになりません。」
探すことができるIOCは以下の通りです:
ドメイン: sfrclak[.]com
IPアドレス: 142.11.206.73
(Malwarebytesの製品によってブロック済み)
ファイル:
- macOS:/Library/Caches/com.apple.act.mond
- Linux:/tmp/ld.py
- Windows:%PROGRAMDATA%\wt および %TEMP%\6202033.vbs/.ps1(実行中のみ一時的に存在)
悪意のあるnpmパッケージ:
[email protected] SHA-256チェックサム:2553649f2322049666871cea80a5d0d6adc700ca
[email protected] SHA-256チェックサム:d6f3f62fd3b9f5432f5782b62d8cfd5247d5ee71
[email protected] SHA-256チェックサム:07d889e2dadce6f3910dcbc253317d28ca61c766
翻訳元: https://www.malwarebytes.com/blog/news/2026/03/axios-supply-chain-attack-chops-away-at-npm-trust
