Appearance
エンジニア向け対応
このページはエンジニア(npm利用者)向けです
非エンジニアの方はスキャンツールが自動チェックしますので、特に対応不要です。
即座に確認すべきこと
1. lockfile のチェック
bash
# プロジェクトディレクトリで実行
grep -r "axios" package-lock.json | grep -E "1\.14\.1|0\.30\.4"上記で出力があれば 感染の可能性あり です。
2. node_modules の確認
bash
cat node_modules/axios/package.json | grep version3. マルウェアアーティファクトの確認
bash
# macOS
ls -la /Library/Caches/com.apple.act.mond
# Windows (PowerShell)
Test-Path "$env:PROGRAMDATA\wt.exe"
# Linux
ls -la /tmp/ld.py4. C2通信の確認
bash
# macOS / Linux
lsof -i -n -P | grep "142.11.206.73"
lsof -i -n -P | grep "sfrclak"
# Windows
netstat -ano | findstr "142.11.206.73"感染していた場合の対応
┌──────────────────────────────────────────────────┐
│ 1. ネットワークを即座に切断 │
│ (LANケーブルを抜く / WiFiをOFF) │
│ │
│ 2. IT部門 / セキュリティチームに報告 │
│ │
│ 3. 以下の全てをローテーション(無効化→再発行) │
│ ┌──────────────────────────────┐ │
│ │ □ npm トークン │ │
│ │ □ SSH 秘密鍵 │ │
│ │ □ AWS / GCP / Azure キー │ │
│ │ □ GitHub / GitLab トークン │ │
│ │ □ .env 内の全シークレット │ │
│ │ □ CI/CD のシークレット │ │
│ │ □ データベース資格情報 │ │
│ │ □ API キー(全サービス) │ │
│ └──────────────────────────────┘ │
│ │
│ 4. マルウェアアーティファクトの削除 │
│ macOS: sudo rm /Library/Caches/com.apple.act.mond │
│ Win: del %PROGRAMDATA%\wt.exe │
│ Linux: rm /tmp/ld.py │
│ │
│ 5. 安全なバージョンに戻す │
│ npm install axios@1.14.0 │
│ │
│ 6. PCのフルスキャン(ウイルス対策ソフト) │
│ │
└──────────────────────────────────────────────────┘今後の防御策
package-lock.json を常にコミット
lockfile をコミットすることで、意図しないバージョンアップを防ぎます。
bash
git add package-lock.json
git commit -m "chore: lock axios to safe version"npm audit を定期実行
bash
npm auditバージョンを固定する
package.json で ^ を外してバージョンを固定:
json
{
"dependencies": {
"axios": "1.14.0"
}
}Socket.dev や npm provenance を活用
- Socket.dev でサプライチェーンリスクを監視
- npm の provenance で発行元を検証