CISA Warns Compromised Axios npm Package Fueled Major Supply Chain Attack
2026/04/21 gbhackers — 米国 Cybersecurity and Infrastructure Security Agency (CISA) が発表したのは、広く利用されている npm パッケージである Axios に影響を及ぼす、深刻なソフトウェア・サプライチェーン侵害に関する緊急警告である。Axios は、Node.js とブラウザ環境で、HTTP リクエスト処理に利用される人気の JavaScript ライブラリである。
そのグローバル規模での普及を背景とするインシデントが、開発パイプラインに重大な脅威を与え、多数のエンタープライズ・アプリケーションをリスクにさらす可能性が生じている。
2026年03月31日に発生した侵害により、Axios パッケージの特定バージョンである 1.14.1/0.30.4 が汚染された。それら汚染バージョンへと更新した開発者は、plain-crypto-js バージョン 4.2.1 という悪意の依存関係を静かに取り込む。
この隠されたパッケージはステルス・ローダーとして機能し、外部の攻撃者インフラへの接続と、多段階ペイロードのダウンロードを担うものだ。主なペイロードは RAT (Remote Access Trojan) であり、感染マシンに対する永続的な制御を提供するものだ。
開発者の端末を侵害する RAT により、攻撃者はソースコードの窃取/環境変数の取得などに加えて、CI/CD パイプラインへの横展開を引き起こし、企業ネットワーク内部へと侵入していく。
侵害された Axios npm パッケージ
すべての組織に対して CISA が強く要請するのは、コードリポジトリおよび開発者端末を慎重に確認して、最近に npm パッケージ更新を実行したシステムを特定することだ。
汚染されたバージョンを取得していた場合には、以下のインシデント・レスポンス対応を直ちに実施する必要がある:
- 安全な Axios バージョン 1.14.0/0.30.3 へとダウングレードする。
- 影響を受けるプロジェクトで “node_modules/plain-crypto-js/” ディレクトリを特定して、安全に削除する。
- クラウドキー/CI/CD シークレット/npm トークン/SSH キーといった、すべての認証情報を無効化/ローテーションする。
- 既知の悪性ドメイン “Sfrclak[.]com” へのアウトバウンド通信を監視する。
- EDR による詳細な調査を実施し、バックグラウンドでの C2 通信が残存していないことを確認する。
このような即時対応に加えて、将来的なサプライチェーン攻撃を防止するための対策も不可欠である。
サプライチェーンの脆弱性を悪用する攻撃者は、パッケージ・マネージャの既定動作を介して活動することが多いため、npm 設定の強化により、未検証パッケージやスクリプト実行を制限する必要がある。
- すべての開発者アカウントに対して、フィッシング耐性のある多要素認証を強制する。
- “.npmrc” ファイルに対して “ignore-scripts=true” を設定し、インストール時の自動スクリプト実行を無効化する。
- “.npmrc” に対して “min-release-age=7” を設定し、公開から 7日未満のパッケージのインストールを制限する。
- ビルドツールの通常動作ベースラインを確立し、不審な子プロセス生成や異常な外部通信を迅速に検知する。
訳者後書:きわめて身近なライブラリを標的とする、サプライチェーン攻撃について解説する記事です。開発現場で広く利用されている Axios (npm) の特定バージョンに、悪意のパッケージを読み込ませる仕組みが混入され、4月20日付けで CISA が緊急警告を出す事態に至っています。ご利用のチームは、ご注意ください。よろしければ、2026/03/31 の「Axios を標的とするサプライチェーン攻撃を検出:npm 経由で悪意の依存関係を注入」も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.