Axios
Axiosを侵した「偽の会議」――北朝鮮ハッカーの手口
JavaScriptの世界を支える巨大ライブラリが、たった3時間で汚染された。手口は、コードの脆弱性ではなく「人間の信頼」だった。 週間1億ダウンロードのライブラリが3時間で汚染された JavaScriptエコシステムで最も広く使われるHTTPクライアントライブラリ「Axios」が、サプライチェーン攻撃の標的になっている。狙われたのはコードではなく、それを管理する「人間」だった。 2026年3月31日未明(UTC)、npmレジストリに悪意あるバージョン2つ(1.14.1と0.30.4)が公開され、インストールした環境にリモートアクセス型トロイの木馬(RAT)が自動的に展開された。Axiosは週間約1億ダウンロード、17万4,000以上のパッケージが依存する基盤的存在だ。多くの開発者はAxiosを「選んだ」のではなく、他のパッケージ経由で知らないうちに使っている。その信頼の連鎖が、今回の攻撃を致命的にした。 汚染されたバージョンが公開されていたのは約3時間。短いようで、npmの自動依存解決の仕組みを考えれば、その間にnpm installを実行した環境はすべて危険にさらされた。
