ディープシ潮 TechFlow のメッセージ、04 月 02 日、VentureBeat の報道によると、攻撃者は JavaScript で最も人気のある HTTP クライアントライブラリ Axios の主任メンテナーの npm アクセストークンを窃取し、このトークンを使って、プラットフォーム横断のリモートアクセス型トロイの木馬(RAT)を含む 2 つの悪意あるバージョン(axios@1.14.1 と axios@0.30.4)を公開した。対象は macOS、Windows、Linux の各システムをカバーしている。悪意あるパッケージは npm レジストリ上で約 3 時間存続した後、削除された。セキュリティ企業 Wiz のデータによれば、Axios の週間ダウンロード数は 1 億回を超え、約 80% のクラウドおよびコード環境に存在している。セキュリティ企業 Huntress は、悪意あるパッケージが公開されてから 89 秒後に最初の感染をすでに検知しており、露出のあった期間(暴露ウィンドウ)内に、少なくとも 135 のシステムが侵害されたことを確認した。特筆すべき点として、Axios プロジェクトはこれまでに OIDC の信頼できる発行メカニズムや SLSA のトレーサビリティ証明など、最新のセキュリティ対策を導入していたが、攻撃者はこれらの防衛線を完全に回避した。調査では、プロジェクトが OIDC を設定する一方で、従来の長期有効な NPM_TOKEN をなお保持しており、npm は両者が共存する場合にデフォルトで従来トークンを優先して使用するため、攻撃者は OIDC を突破する必要なく公開を完了できたことが判明した。
Axiosライブラリがサプライチェーン攻撃を受け、ハッカーが盗まれたnpmトークンを利用してリモートトロイの木馬を仕込み、約80%のクラウド環境に影響を及ぼしました
ディープシ潮 TechFlow のメッセージ、04 月 02 日、VentureBeat の報道によると、攻撃者は JavaScript で最も人気のある HTTP クライアントライブラリ Axios の主任メンテナーの npm アクセストークンを窃取し、このトークンを使って、プラットフォーム横断のリモートアクセス型トロイの木馬(RAT)を含む 2 つの悪意あるバージョン(axios@1.14.1 と axios@0.30.4)を公開した。対象は macOS、Windows、Linux の各システムをカバーしている。悪意あるパッケージは npm レジストリ上で約 3 時間存続した後、削除された。
セキュリティ企業 Wiz のデータによれば、Axios の週間ダウンロード数は 1 億回を超え、約 80% のクラウドおよびコード環境に存在している。セキュリティ企業 Huntress は、悪意あるパッケージが公開されてから 89 秒後に最初の感染をすでに検知しており、露出のあった期間(暴露ウィンドウ)内に、少なくとも 135 のシステムが侵害されたことを確認した。
特筆すべき点として、Axios プロジェクトはこれまでに OIDC の信頼できる発行メカニズムや SLSA のトレーサビリティ証明など、最新のセキュリティ対策を導入していたが、攻撃者はこれらの防衛線を完全に回避した。調査では、プロジェクトが OIDC を設定する一方で、従来の長期有効な NPM_TOKEN をなお保持しており、npm は両者が共存する場合にデフォルトで従来トークンを優先して使用するため、攻撃者は OIDC を突破する必要なく公開を完了できたことが判明した。