週1億DLのAxiosにRATが仕込まれた――サプライチェーン攻撃の全容

· media coding web · Source ↗

Fireshipが2026年3月31日に発覚したAxios(npm週間DL数1億超)へのサプライチェーンRAT攻撃を解説する。

  • npmに公開された悪意あるAxiosバージョンは、ソースコードの改ざんではなく、不正な依存パッケージ経由でRATドロッパーを仕込んでいた。
  • 攻撃者はAxiosメンテナーのnpmアカウントを侵害し、ProtonMailアドレスで公開することで、通常のGitHub Actionsリリースフローを回避した。
  • 攻撃では正規のcrypto-jsを装った偽パッケージplain-crypto-jsが注入され、post-installスクリプトがC2サーバーから第二段階のペイロードを取得する仕組みになっていた。
  • RATはOS判別機能を持ち、システムを検出して最適化されたペイロードを取得、リモートアクセスを確立した後、npm auditによる検出を回避するために自己削除する。
  • 感染したマシンのAWS認証情報、OpenAI APIキー、ファイルシステム上のすべてのシークレットが攻撃者に漏洩する。
  • 影響を受けた2つのAxiosバージョンはpackage.jsonで確認できる。node_modules内にplain-crypto-jsが存在する場合は感染の証拠となる。
  • RATを削除するだけでは不十分――StepSecurityのインシデント対応ガイドに従い、すべてのAPIキーとトークンを直ちにローテーションする必要がある。

2026-03-31 · YouTubeで見る

英語版: Millions of JS devs just got penetrated by a RAT… · Watch on YouTube