Axiosへのサプライチェーン攻撃、npmから悪意のある依存関係を引き込む
Axios HTTPクライアントNPMパッケージがサプライチェーン攻撃を受け、バージョン1.14.1と0.30.4に悪意のある依存関係plain-crypto-jsが含まれ、認証情報の窃取とリモートアクセス型トロイの木馬のインストールを試みた。
キーポイント
サプライチェーン攻撃の概要
週間1億100万ダウンロードを誇るAxios NPMパッケージがサプライチェーン攻撃を受け、バージョン1.14.1と0.30.4に新たな依存関係として追加されたplain-crypto-jsがマルウェアであった。
攻撃手法と影響
plain-crypto-jsは認証情報を窃取し、リモートアクセス型トロイの木馬(RAT)をインストールするマルウェアとして機能した。
攻撃の原因
攻撃は長期間有効なnpmトークンの漏洩によるものと見られ、Axiosは信頼できる公開(trusted publishing)の採用を検討するGitHub Issueを公開している。
悪意あるリリースの検出ヒューリスティック
マルウェアパッケージはGitHubリリースを伴わずに公開されており、これは先週のLiteLLM攻撃でも見られたパターンで、悪意あるリリースを検出する有用なヒューリスティックとなる。
影響分析・編集コメントを表示
影響分析
この攻撃は、週間1億100万ダウンロードという大規模OSSパッケージを標的としたことで、JavaScriptエコシステム全体に重大なセキュリティリスクをもたらした。同じ攻撃パターンが複数のパッケージで繰り返されていることから、OSSサプライチェーンの脆弱性がシステマティックに悪用されている実態が浮き彫りになった。
編集コメント
大規模OSSパッケージを狙ったサプライチェーン攻撃の具体例として、開発者コミュニティ全体に警鐘を鳴らす重要な事例。同じ攻撃パターンの繰り返しは、より体系的な対策が必要であることを示唆している。
Axios のサプライチェーン攻撃により悪意のある依存関係が npm から削除される
今日発生した Axios に対するサプライチェーン攻撃に関する有用な解説記事です。Axios は 週に 1 億 100 万回ダウンロードされている HTTP クライアント用 NPM パッケージです。バージョン 1.14.1 と 0.30.4 の両方に、新たに公開されたマルウェアである「plain-crypto-js」という新しい依存関係が含まれており、認証情報を窃取し、リモートアクセストロイ(RAT)をインストールしていました。
この攻撃は、漏洩した長期有効な npm トークンが原因のようです。Axios は 信頼できる公開の採用に関するオープンな課題 を抱えており、これにより GitHub Actions ワークフローのみが npm への公開を許可されるようになります。マルウェアパッケージは、対応する GitHub リリースを伴わずに公開されました。これは潜在的に悪意のあるリリースを検出するための有用なヒューリスティック(経験則)と言えます。同様のパターンは先週の LiteLLM の件 でも見られました。
Via lobste.rs
Tags: javascript, security, npm, supply-chain
原文を表示
Supply Chain Attack on Axios Pulls Malicious Dependency from npm
Useful writeup of today's supply chain attack against Axios, the HTTP client NPM package with 101 million weekly downloads. Versions 1.14.1 and 0.30.4 both included a new dependency called plain-crypto-js which was freshly published malware, stealing credentials and installing a remote access trojan (RAT).
It looks like the attack came from a leaked long-lived npm token. Axios have an open issue to adopt trusted publishing, which would ensure that only their GitHub Actions workflows are able to publish to npm. The malware packages were published without an accompanying GitHub release, which strikes me as a useful heuristic for spotting potentially malicious releases - the same pattern was present for LiteLLM last week as well.
Via lobste.rs
Tags: javascript, security, npm, supply-chain
関連記事
今日のまとめ
AI日報で今日の重要ニュースをまとめ読み