Axiosを侵した「偽の会議」――北朝鮮ハッカーの手口
JavaScriptの世界を支える巨大ライブラリが、たった3時間で汚染された。手口は、コードの脆弱性ではなく「人間の信頼」だった。
週間1億ダウンロードのライブラリが3時間で汚染された
JavaScriptエコシステムで最も広く使われるHTTPクライアントライブラリ「Axios」が、サプライチェーン攻撃の標的になっている。狙われたのはコードではなく、それを管理する「人間」だった。
2026年3月31日未明(UTC)、npmレジストリに悪意あるバージョン2つ(1.14.1と0.30.4)が公開され、インストールした環境にリモートアクセス型トロイの木馬(RAT)が自動的に展開された。Axiosは週間約1億ダウンロード、17万4,000以上のパッケージが依存する基盤的存在だ。多くの開発者はAxiosを「選んだ」のではなく、他のパッケージ経由で知らないうちに使っている。その信頼の連鎖が、今回の攻撃を致命的にした。
汚染されたバージョンが公開されていたのは約3時間。短いようで、npmの自動依存解決の仕組みを考えれば、その間にnpm installを実行した環境はすべて危険にさらされた。
Google脅威情報グループ(GTIG)は本件を、2018年から活動する金銭目的の脅威アクター「UNC1069」に帰属させた。同グループは以前から暗号資産企業を標的にしてきたが、オープンソースのメンテナーへの攻撃は戦略的な転換を意味する。
偽の企業、偽のSlack、偽のTeams会議
攻撃の入口はコードではなく、人間だった。Axiosのリードメンテナーであるジェイソン・サーイマンが4月2日に公開したポストモーテム(事後分析)が、その全貌を明らかにしている。
攻撃者は実在する企業の創業者になりすまし、サーイマンに接触した。「創業者の外見も会社そのものも複製されていた」とサーイマンは振り返る。ここまでの下準備は、よくあるフィッシングメールとは別次元の話だ。
次のステップはSlackへの招待だった。企業のCIに合わせたブランディング、LinkedInの投稿を共有するチャンネル、他のOSSメンテナーを装った偽プロフィール。すべてが本物の企業活動を模倣していた。
信頼を築いた後、攻撃者はMicrosoft Teams会議をセッティングする。通話中、「システムが最新でない」という偽のエラーメッセージが表示された。サーイマンがアップデートを実行した瞬間、RATがインストールされた。
「すべてが極めてよく調整されており、正規のもので、プロフェッショナルな方法で行われていた」とサーイマンは認めている。
2FAは意味をなさなかった
RATが端末を掌握した時点で、二要素認証は無力だった。攻撃者はサーイマンの認証済みセッションをそのまま利用し、npmのメールアドレスをProton Mailに変更した。
長期有効なnpmアクセストークンで悪意あるパッケージが直接公開された。
npmから見れば、すべての操作は正規のメンテナーによるものに見えた。正規リリースとの見分けは、事実上不可能だった。
注入された偽の依存パッケージ「[email protected]」はAxiosのコードのどこからもインポートされていない。唯一の目的は、postinstallスクリプトを通じてWindows・macOS・Linux向けのRATドロッパーを実行することだった。
Axiosだけではない――Node.jsエコシステム全体が標的
セキュリティ企業Socketの調査が、事態のスケールを浮き彫りにしている。Axiosは単独の標的ではなく、Node.jsエコシステム全体を狙った組織的キャンペーンの一部だった。
SocketのCEOであるフェロス・アブーカディジェ自身もターゲットにされていた。彼はWebTorrent、StandardJS、bufferなど数十億ダウンロードを持つパッケージの作者だ。「メンテナー個人への標的型ソーシャルエンジニアリングは"ニューノーマル"だ」と彼は述べている。
被害報告は広がり続けている。Node.js Technical Steering Committee議長でFastifyのリードメンテナーであるマッテオ・コッリーナ、ECMAScript polyfillsを数百個メンテナンスするジョーダン・ハーバンド、Lodashの作者ジョン=デイビッド・ダルトン、dotenvの作者スコット・モット、Expressのコントリビューターであるジャン・ビュレリエ。いずれも同じ手口で接触を受けたことを確認している。
Mochaのメンテナーであるペレ・ウェスマンは、偽のポッドキャスト収録に誘い出される寸前だった。偽の動画配信サイトで「接続エラー」を表示し、ネイティブアプリのインストールを促す手法だ。ウェスマンはアプリがインフォスティーラーを含むことを見抜いて実行しなかったが、攻撃者は最後の手段としてcurlコマンドの実行を試み、拒否されると全会話を削除して姿を消した。
| メンテナー | 主要パッケージ | 週間DL | 状況 |
|---|---|---|---|
| J・サーイマン | Axios | 約1億 | 侵害 |
| J=D・ダルトン | Lodash | 1.37億 | 回避 |
| S・モット | dotenv | 1.14億 | 回避 |
| M・コッリーナ | Fastify, Pino, Undici | — | 回避 |
| F・アブーカディジェ | WebTorrent, buffer等 | — | 回避 |
| P・ウェスマン | Mocha, type-fest等 | — | 回避 |
| J・ハーバンド | ECMAScript polyfills | — | 回避 |
| J・ビュレリエ | Express | — | 回避 |
暗号資産からOSSへ――攻撃者の「戦略的転換」
セキュリティ研究者のテイラー・モナハンは、UNC1069の手口を暗号資産セクターで長年追跡してきた人物だ。彼女はAxiosのポストモーテムスレッドで、攻撃者の動機の変化を指摘している。
「なぜ一人一人電話して、最終的に一人の金持ちを狙うのか? 100万人以上を一度に手に入れられるのに」
これがOSSメンテナーへの転換の本質だ。暗号資産の世界では、一人の富裕層をだましてウォレットを空にする。だがnpmレジストリへの書き込みアクセスを得れば、数時間で数百万のインストールに到達できる。費用対効果が桁違いに高い。
Mandiantが2026年2月に発表したレポートでは、UNC1069がAI生成動画を使って幹部になりすますケースも確認されている。攻撃インフラの進化も速く、最近ではSlackハドルにも対応した偽会議ツールの開発が確認されている。
Microsoftは本件を同社が「Sapphire Sleet」として追跡する脅威アクターに帰属させた。UNC1069、BlueNoroff、Sapphire Sleet――異なるセキュリティベンダーが付けた名称はすべて同一の攻撃グループを指している。
構造的な脆弱性が露呈した
今回の事件は、技術的な脆弱性ではなくエコシステムの構造的な問題を浮き彫りにした。
Axiosは2023年からOIDCベースのTrusted Publishingに対応しており、直近4つの正規リリースはすべてGitHub Actions経由で公開されていた。しかし悪意あるバージョンにはプロベナンス(出所証明)も署名もなかった。正規リリースと偽物を見分ける材料は明白に存在していた。にもかかわらず、npmにはOIDC専用の公開を「強制」する設定がない。
つまり、どれだけパイプラインを堅牢にしても、メンテナーの端末1台が侵害されれば、従来型のnpm publishで正規のパッケージとして公開できてしまう。Express TCメンバーのウェス・トッドが指摘するように、OIDCは公開衛生の改善にはなるが、完全に侵害されたマシンに対する防御にはならない。
対応と教訓
サーイマンは全デバイスの初期化、全アカウントの認証情報リセット、イミュータブルリリースの導入、OIDC公開フローの本格採用を進めている。だがこれは一プロジェクトの対策で済む話ではない。
週間数十億ダウンロードを支えるパッケージが、専任のセキュリティチームも組織的な支援もない少数の個人によってメンテナンスされている。テイラー・モナハンがメンテナーたちに呼びかけた言葉が、この構造の脆さを端的に表している。
「フィッシングに引っかかったと非難する人たちから、お互いを守れ。あなたはバカなのではない。忙しくて、信頼していて、疲れていただけだ」
自分のプロジェクトは安全か
影響を受けたかの確認は簡単だ。ロックファイルで [email protected]、[email protected]、plain-crypto-jsを検索すればいい。ヒットした環境は侵害されたものとして扱い、認証情報の全ローテーションが必要になる。
一人のメンテナーの端末が侵害されれば、そこから先はドミノだ。Axiosに依存するパッケージ、さらにそれに依存するアプリケーション、そしてその先のユーザー。サプライチェーン攻撃が「例外的な事象」から「日常的な現実」に変わりつつある今、問われているのは個人の注意力ではなく、エコシステムそのものの設計だ。
参照元
他参照
関連記事
- axiosが乗っ取られた──npm史上最も巧妙なサプライチェーン攻撃の全貌
- Claude Code流出、Anthropicが認めた代償
- AI検索でブランドを売り込む新SEO産業、ゴールドラッシュの内幕
- Claude Codeのソースコード全文が流出、npmの設定ミスで51万行が丸見えに
- Flatpakに致命的な脆弱性、サンドボックスを完全に突破される
- GmailのGemini統合、Googleが「メールでAIを訓練しない」と改めて表明
- AnthropicのClaude Mythosが「すべての主要OS・ブラウザ」で数千のゼロデイ脆弱性を発見、危険すぎて一般公開せず
- Amazon・Microsoft・Googleに投資家が迫る、AIデータセンターの「水」開示
- OpenAI・Anthropic・Googleが共闘、中国への「蒸留」流出で情報共有
- Windowsゼロデイ「BlueHammer」流出、MSRCへの怒りが引き金
