2026年3月30日、JavaScriptエコシステムは大規模なソフトウェアサプライチェーン攻撃に直面しました。週間ダウンロード数が1億回を超える最も人気のあるHTTPクライアントであるAxiosは、クロスプラットフォームのリモートアクセストロージャンを配信するために悪用されました。
攻撃者はプロジェクトの主要メンテナーのパッケージマネージャーアカウントへのアクセスを乗っ取ることに成功し、macOS、Windows、Linuxで実行されているシステムを対象とした悪意のあるバージョンのAxiosを公開することができました。
隠されたマルウェアが実行されると、検出を回避するために自らの痕跡を静かに削除しました。セキュリティテレメトリは、金融、政府、医療、小売、テクノロジーセクター全体で既にこの深刻な脅威に関連するアクティビティを観測しています。
攻撃者はメンテナーアカウントへのアクセスを取得し、関連するメールアドレスを攻撃者が管理するProtonMailアドレスに変更しました。
管理者レベルのアクセスにより、脅威アクターは標準的なセキュリティ対策をバイパスしました。通常、正規のAxiosリリースはGitHub Actionsと安全で信頼できるパブリッシャーメカニズムを使用してコード認証を検証しています。
しかし、攻撃者は特にバージョン1.14.1と0.30.4の侵害されたアップデートを手動でプッシュし、盗まれたアクセストークンを使用しました。彼らはさらに昇格された特権を使用して、GitHubリポジトリ上の他の正規の協力者によってポストされた警告を削除しました。
マルウェアを配信して即座のアラームをトリガーしないようにするために、攻撃者はファントム依存関係と呼ばれるテクニックを使用しました。
汚染されたAxiosアップデートには、plain-crypto-jsという新しい依存関係が含まれていました。このパッケージはAxiosソースコード内のどこにもインポートされたり使用されたりすることはありませんでした。
代わりに、開発者が侵害されたAxiosパッケージをダウンロードするときに自動インストールプロセス中に隠されたスクリプトをトリガーするためだけに追加されました。その後、setup.jsという高度に難読化されたスクリプトがバックグラウンドで自動的に実行されました。
マルウェアは攻撃開始の数時間前に設定された米国でホストされている新しく登録されたコマンド・アンド・コントロールサーバーと通信しました。
しかし、Axiosクライアントの莫大な人気のために、この短い露出期間でさえ、グローバルなソフトウェアサプライチェーンに対して重大なリスクをもたらしました。
代わりに、ロックファイル検証による厳密なバージョンピンニングが必要です。さらに、自動スクリプトを明示的に無視するインストールコマンドを使用することで、この攻撃で使用される実行方法をブロックできます。
翻訳元: https://cyberpress.org/poisoned-axios-spreads-malware/