サイバーセキュリティおよびインフラストラクチャセキュリティ庁(CISA)は、広く使用されているAxiosノードパッケージマネージャー(npm)に影響を与える深刻なソフトウェアサプライチェーン侵害に関する緊急警告を発令しました。
Axiosは、開発者がNode.jsとブラウザ環境の両方でHTTPリクエストを処理するために依存する、非常に人気の高いJavaScriptライブラリです。
その膨大なグローバル採用率のため、このセキュリティ侵害は開発パイプラインに対する重大な脅威となり、無数のエンタープライズアプリケーションをリスクにさらす可能性があります。
侵害は2026年3月31日に発生し、脅威行為者がAxiosパッケージの2つの特定の更新版(バージョン1.14.1と0.30.4)を正常に改ざんしました。
開発者がこれらの改ざんされたバージョンに更新するたびに、システムはplain-crypto-jsバージョン4.2.1という注入された悪意のある依存パッケージをひっそりと取り込みました。
この隠れたパッケージはステルスなローダーとして機能し、外部の脅威行為者インフラストラクチャに接続してマルチステージペイロードをダウンロードします。
展開されるプライマリペイロードは、攻撃者に感染したマシンに対する永続的なコントロールを与えるリモートアクセストロイの木馬(RAT)です。
例えば、開発者のマシンが侵害された場合、RATは機密ソースコードをひっそり抽出したり、環境変数を盗んだり、企業ネットワークより深くに侵入してコンティニュアスインテグレーション・コンティニュアスデリバリー(CI/CD)パイプラインにアクセスしたりすることができます。
CISAはすべての組織に対し、最近npmパッケージの更新を実行したシステムを特定するために、コードリポジトリと開発者マシンを慎重に確認することを強く促しています。
あなたのチームが不注意にこれらの悪意のあるAxiosバージョンを取得した場合は、ネットワークを保護するためにこれらの重大なインシデント対応措置をすぐに実装する必要があります。
- 環境を既知の安全なAxiosリリースにダウングレードします。具体的には、バージョン1.14.0または0.30.3を使用してください。
- すべての影響を受けたプロジェクトからnode_modules/plain-crypto-js/ディレクトリを探し出し、安全に削除してください。
- 影響を受けたシステムで公開されたすべての認証情報(クラウドキー、CI/CDシークレット、npmトークン、SSHキーを含む)を取り消して交換してください。
- 既知の悪意のあるドメインSfrclak[.]comにルーティングされるアウトバウンド接続がないか、ネットワークインフラストラクチャを監視してください。
- アクティブなコマンドアンドコントロール通信がバックグラウンドに隠れたままでないことを確認するため、徹底的なエンドポイント検出および応答(EDR)ハントを実施してください。
即座の感染クリーンアップを超えて、組織は同様のソフトウェアサプライチェーン攻撃が将来成功するのを防ぐための積極的な措置を講じる必要があります。
サプライチェーンの脆弱性はデフォルトのパッケージマネージャーの動作を頻繁に悪用しますが、セキュリティチームはnpmを再構成して、不正なスクリプト実行をブロックし、未検証のパッケージを遅延させることができます。
- すべての開発者アカウント全体でフィッシング耐性のある多要素認証を適用して、重大なデプロイメントプラットフォームを保護します。
- .npmrcファイルにignore-scripts=trueを設定して、インストール中にパッケージが悪意のあるセットアップスクリプトを自動的に実行するのを防ぎます。
- .npmrcにmin-release-age=7を設定して、公開から7日未満のパッケージのインストールを厳密にブロックします。
- 予期しない子プロセスや異常な外部接続などの異常なアクティビティを迅速に検出するために、ビルドツールの通常の動作について厳密なベースラインを確立します。
翻訳元: https://gbhackers.com/cisa-warns-compromised-axios-npm-package/
