Socket Securityのセキュリティ志向企業の共同創業者であるFeross Aboukhadijehによれば、npmで最も依存されているパッケージの1つであるAxios上で、稼働中のサプライチェーンが確認されているとのことです。
NPMはNode Package Managerの略で、基本的に世界最大級のソフトウェアレジストリです。オープンソースのJavaScriptコードのパッケージを200万以上ホストしています。現代のWeb3開発の基盤だと言えるでしょう。
Ferossによれば、最新のaxios@1.14.1は現在plain-crypto-just@4.2.1を取り込んでおり、これは今日以前には存在しなかったパッケージです。つまり、進行中の侵害(ライブ・コンプロマイズ)を示唆しているということです。
これは教科書どおりのサプライチェーンのインストーラ型マルウェアです。Axiosは週100M+のダウンロードがあります。npm installで最新バージョンを取り込むたびに、今この瞬間に侵害されている可能性があります。Socket AI analyissは、これがマルウェアであることを確認しています。Plain-crypto-jsは難読化されたドロッパー/ロードレです。”
この悪意のあるソフトウェアは、実行後にアーティファクトを削除・改名してデジタルフォレンジックの証拠を破壊すること、ペイロードファイルをOSのtempおよびWindowsのProgramDataディレクトリにステージングしてコピーすること、デコードされたシェルコマンドを実行することなど、多様な操作を行えます。
🚨 重大:axiosに対するアクティブなサプライチェーン攻撃 — npmで最も依存されているパッケージの1つ。
最新のaxios@1.14.1は今、plain-crypto-js@4.2.1(今日以前には存在しなかったパッケージ)を取り込んでいます。これは進行中の侵害です。
これは教科書どおりのサプライチェーンのインストーラ型マルウェアです。axios…
— Feross (@feross) March 31, 2026
専門家は、axiosを使う開発者に対し、直ちにバージョンを固定(pin)し、ロックファイルを監査することを推奨しています。その一方で、当面はアップデートを控えるようにとのことです。
特別オファー(限定)
Binanceで$600(CryptoPotato限定):このリンクを使って新しいアカウントを登録し、Binanceで$600の限定ウェルカムオファーを受け取ってください(詳細はこちら)。
CryptoPotatoの読者向けの限定オファー(Bybit):このリンクを使って登録し、どのコインでも$500のFREEポジションを開設してください!
Tags:
Hacks