-
【緊急】JavaScript ライブラリ axiosのnpmが乗っ取られる-1.14.1と0.30.4は導入済みなら侵害前提で対応が必要
投稿日 2026年3月31日 18:06:52 (副業)
スポンサードリンク
1: 稼げる名無しさん :2026/03/31(火) 17:21:30.53 ID:L1Q2MBsx
JavaScriptの代表的HTTPクライアントであるAxiosで、npm配布パッケージ自体が改ざんされるサプライチェーン攻撃が確認されました。StepSecurityによると、悪意あるバージョンはaxios@1.14.1 と axios@0.30.4で、攻撃者はAxiosの主要メンテナーのnpm資格情報を奪い、通常のGitHub Actionsによる公開フローを迂回してnpm CLIから直接公開したとされています。
https://rocket-boys.co.jp/security-measures-lab/npm-axios-hijack-v1-14-1-v0-30-4-assume-breach/
1001: 以下名無しさんに代わりまして管理人がお伝えします 1848/01/24(?)00:00:00 ID:money_soku
うおおおお・・・。
これは情シス大慌て案件では。
これは情シス大慌て案件では。
調べたところ、ごく短時間だけ公開されていたみたいだな。
もし該当バージョンが導入されていれば、すぐに対応が必要だ。
スポンサードリンク
詳細(すべてUTC時間)
axios@1.14.1 (mailto:axios@1.14.1):2026年3月31日 00:21 に公開
axios@1.14.1 (mailto:axios@1.14.1):2026年3月31日 00:21 に公開
axios@0.30.4 (mailto:axios@0.30.4):2026年3月31日 01:00 に公開(約39分後)
公開期間は以下の通り非常に短かった:
1.14.1 の公開期間:約2時間53分
1.14.1 の公開期間:約2時間53分
0.30.4 の公開期間:約2時間15分
npm側が検知後、約03:15頃に両バージョンを削除した模様
対象となるプロジェクト
対象となるプロジェクト
この時間内にnpm install / npm update をその時間帯に実行したプロジェクトが対象
確認方法
確認方法
lockfile(package-lock.json など)を確認して該当バージョンが入っていないかチェックを
document.getElementById(‘kznottframe’).onload = function() {
try {
const contentHeight = this.contentWindow.document.body.scrollHeight;
this.height = contentHeight;
} catch (e) {
console.error(“error”);
}
};
続きを読む
Source: 稼げるまとめ速報
スポンサードリンク
最新情報
