Axiosパッケージの侵害と対応措置
Vercelは、2026年3月31日に発見されたサプライチェーン攻撃によりaxios npmパッケージが侵害された問題を調査し、プラットフォームを保護するための修復措置を実施したと報告した。
キーポイント
サプライチェーン攻撃の発覚
axios npmパッケージが2026年3月31日に発見されたアクティブなサプライチェーン攻撃により侵害され、悪意のあるバージョンがnpmレジストリから削除された。
Vercelの対応措置
Vercelは調査を実施し、ビルドインフラからのC2ホスト名sfrclak.comへの発信アクセスをブロックし、悪意のあるパッケージバージョンをブロック・非公開化した。
影響を受けるバージョン
ビルド環境でaxios@1.14.1またはaxios@0.30.4を使用しているプロジェクトが脆弱性の影響を受けており、plain-crypto-js@4.2.1も関連する侵害パッケージとして特定された。
解決策と推奨対応
侵害されたパッケージバージョンを使用したデプロイメントに対して、ロックファイルの確認、プロジェクトの再デプロイ、APIキーなどの認証情報のローテーション、依存関係の更新を推奨している。
影響分析・編集コメントを表示
影響分析
この記事は、広く使用されているオープンソースパッケージに対するサプライチェーン攻撃の実例を示しており、開発者コミュニティ全体に影響を与える重大なセキュリティインシデントである。Vercelの迅速な対応と具体的な修復手順の提供は、同様の攻撃に対するベストプラクティスとして参考になる。
編集コメント
広く使用されるオープンソースパッケージのセキュリティ侵害は、開発者エコシステム全体に波及する重大なリスクであり、依存関係管理の重要性を再認識させる事例となっている。
Axiosパッケージの侵害と対応手順
axios npmパッケージは、2026年3月31日に発見された能動的なサプライチェーン攻撃により侵害されました。Vercelはこの問題を調査し、プラットフォームを保護するための是正措置を実施しました。Vercelのシステム自体に影響はありません。
npmレジストリは侵害されたパッケージのバージョンを削除し、最新タグは現在、安全なバージョンであるaxios@1.14.0を指すように変更されています。
当社は、ビルドインフラストラクチャからC&C(Command & Control)ホスト名「sfrclak.com」への送信アクセスを遮断しました。
この悪意のあるパッケージバージョンはブロックされ、npmレジストリから公開削除(unpublish)されています。
Vercel自社のインフラストラクチャおよびアプリケーションは影響を受けておりません。ご自身のサプライチェーンに影響がないか確認されることを推奨します。
影響を受けるバージョン
ビルド環境でaxios@1.14.1またはaxios@0.30.4を使用しているプロジェクトは、この脆弱性の影響を受けます。
以下の依存関係およびロックファイルを確認してください:
axios@1.14.1
axios@0.30.4
plain-crypto-js@4.2.1
解決策
デプロイメントのビルド環境で上記の悪意のあるパッケージバージョンを使用していた場合は、以下の対応を実施してください:
- ロックファイルとnode_modules内で「plain-crypto-js」を検索し、侵害されたインストールを特定する
- プロジェクトを再デプロイし、ビルドが安全なバージョンのaxiosを使用することを保証する
- APIキー、データベース認証情報、トークン、ビルド環境内のその他の機密値について、ローテーション(再発行・更新)を行う
- 依存関係ツリー内のaxios@1.14.1またはaxios@0.30.4への参照を確認し、axios@1.14.0に更新する
詳細を読む
原文を表示
The axios npm package was compromised in an active supply chain attack discovered on March 31, 2026. Vercel investigated this issue and implemented remediation actions to protect the platform. No Vercel systems were affected.
The npm registry removed the compromised package versions, and the latest tag now points to the safe axios@1.14.0 release.
We’ve blocked outgoing access from our build infrastructure to the Command & Control hostname sfrclak.com.
The malicious version of the package has been blocked and unpublished from npm.
Vercel’s own infrastructure and applications have been unaffected. We recommend checking your supply chain for exposure.
Affected versions
Projects using axios@1.14.1 or axios@0.30.4 in their build environments are affected by this vulnerability.
Check your dependencies and lockfiles for:
axios@1.14.1
axios@0.30.4
plain-crypto-js@4.2.1
Resolution
If your deployments used the malicious package version listed above in your build environment, take the following actions:
Search your lockfiles and node_modules for plain-crypto-js to identify compromised installations
Redeploy your project to ensure your build uses a clean version of axios
Rotate API keys, database credentials, tokens, and any other sensitive values present in your build environment
Review your dependency tree for references to axios@1.14.1 or axios@0.30.4 and update them to axios@1.14.0
Read more
関連記事
今日のまとめ
AI日報で今日の重要ニュースをまとめ読み