週間1億DLのAxiosにRATが仕込まれた——JSエコシステムを直撃したサプライチェーン攻撃

· coding web · Source ↗

Summary based on the YouTube transcript and episode description.

Fireshipが2026年3月31日に発覚したAxiosへの高度なサプライチェーンRAT攻撃を解説。Axiosは週間ダウンロード数1億超のnpmライブラリ。

  • ソースコードは改ざんされておらず、悪意のあるAxiosバージョンはnpm上の不正な依存パッケージ経由でRATドロッパーを仕込んでいた。
  • 攻撃者はAxiosメンテナーのnpmアカウントを侵害し、通常のGitHub Actionsリリースフローを迂回してProtonMailアドレスから公開した。
  • 正規のcrypto-jsを騙る偽パッケージplain-crypto-jsを注入し、post-installスクリプトでC2サーバーから第2段階ペイロードをフェッチする仕組みだった。
  • RATはOS検知機能を持ち、システムに合わせたペイロードを取得してリモートアクセスを確立した後、npm auditによる検出を避けるため自己削除する。
  • 感染したマシンではAWSクレデンシャル、OpenAI APIキー、ファイルシステム上のすべてのシークレットが攻撃者に露出する。
  • 影響を受ける2つのAxiosバージョンはpackage.jsonで確認できる。node_modules内にplain-crypto-jsが存在すれば侵害確定。
  • RATを削除するだけでは不十分——StepSecurityのインシデントガイドに従い、すべてのAPIキーとトークンを直ちにローテーションすること。

2026-03-31 · YouTubeで見る

英語版: Millions of JS devs just got penetrated by a RAT… · Watch on YouTube

あわせて読みたい