Appearance
axios サプライチェーン攻撃とは
2026年3月31日に発生した重大インシデント
npm週間1億ダウンロードの axios パッケージが乗っ取られ、マルウェア入りの偽バージョンが公開されました。
非エンジニアの方へ
axios や npm は、エンジニアが使うソフトウェア部品の管理システムです。
エンジニアでない方は、このページの内容は 参考情報として読むだけでOK です。
本ツールが自動的にチェックしますので、スキャンを実行すれば問題ありません。
何が起きたか
通常の流れ:
開発者 → axios(安全) → npmに公開 → 世界中のエンジニアが利用
今回の攻撃:
攻撃者がメンテナーのアカウントを乗っ取り
↓
マルウェア入りのaxiosをnpmに公開
↓
npm install した人のPCにマルウェアが侵入影響を受けるバージョン
| バージョン | 状態 |
|---|---|
| axios@1.14.1 | 危険(マルウェア入り) |
| axios@0.30.4 | 危険(マルウェア入り) |
| axios@1.14.0 | 安全 |
| axios@0.30.3 | 安全 |
| それ以外 | 安全 |
マルウェアの動作
npm install axios@1.14.1 を実行
↓
インストール時に自動実行スクリプトが動く
↓
悪意のあるパッケージ (plain-crypto-js) がダウンロードされる
↓
OS に応じたマルウェアが設置・実行される
Mac: /Library/Caches/com.apple.act.mond
Windows: %PROGRAMDATA%\wt.exe
Linux: /tmp/ld.py
↓
攻撃者のC2サーバー (sfrclak.com) と通信開始
↓
PCが遠隔操作可能な状態に(RAT)
↓
マルウェアのインストール痕跡を自己消去本ツールがチェックすること
| チェック項目 | 説明 |
|---|---|
| マルウェアファイルの存在 | OS別のマルウェア本体ファイル |
| C2サーバーへの通信 | sfrclak.com / 142.11.206.73 への接続 |
| package-lock.json | 全プロジェクトの依存バージョン |
| node_modules | インストール済みパッケージのバージョン |
| plain-crypto-js | 悪意のある依存パッケージの存在 |