Axios npm サプライチェーン侵害対策ガイド
概要
Microsoft は、悪意のある Axios npm バージョン 1.14.1 と 0.30.4 が Sapphire Sleet によるサプライチェーン攻撃で使用されたと警告しました。該当パッケージを利用している組織は、直ちにシークレットのローテーション、安全なバージョンへのダウングレード、開発者端末と CI/CD システムの侵害調査を実施する必要があります。
はじめに
Microsoft は、最も広く使われている JavaScript HTTP ライブラリの 1 つである Axios に影響する深刻な npm サプライチェーン侵害を公表しました。Axios は開発者のワークステーションや CI/CD パイプラインに一般的に導入されているため、この事案は Windows、macOS、Linux 環境全体のソフトウェアサプライチェーン セキュリティに広範な影響を及ぼします。
何が起きたのか
2026 年 3 月 31 日に、2 つの悪意ある Axios パッケージ バージョンが公開されました。
Microsoft Threat Intelligence によると、これらのリリースには悪意ある依存関係 [email protected] が追加されており、npm install またはパッケージ更新時に post-install スクリプトを実行していました。このインストール フックは攻撃者が管理するインフラストラクチャに接続し、第 2 段階の remote access trojan (RAT) をダウンロードしていました。
Microsoft はこのキャンペーンを、北朝鮮の国家支援アクター Sapphire Sleet に帰属させています。
主な技術的詳細
- Axios のソース コード自体は変更されていないと報告されています。
- 悪意ある動作は、依存関係の挿入手法によって導入されました。
- 影響を受けた環境には、開発者エンドポイント と CI/CD システム が含まれます。
- ペイロードは OS ごとに調整されていました。
- Windows: レジストリの Run キーによる永続化を備えた PowerShell ベースの RAT
- macOS:
/Library/Cachesに配置されるネイティブ バイナリ - Linux/other: プラットフォーム固有の後続ペイロード
- マルウェアは、Sapphire Sleet に関連する既知の悪意あるインフラストラクチャと通信していました。
IT/セキュリティ チームにとって重要な理由
この攻撃は、信頼されたオープンソース パッケージが、アプリケーションに目立つ変更がなくても武器化され得ることを示しています。アプリケーションが正常に動作しているように見えても、侵害はインストール時に発生する可能性があり、攻撃者はシークレットの窃取、永続化の確立、さらに企業環境の深部への横展開を行えます。
管理者にとって特に大きなリスクは次のとおりです。
- 開発者の資格情報とトークンの侵害
- ビルド システム内のシークレット露出
- CI/CD エージェント上でのマルウェア実行
- 管理対象 Windows デバイス上での永続的な足掛かり
推奨アクション
影響を受けた Axios バージョンをインストールした組織は、直ちに対応する必要があります。
- Axios を安全なバージョンにダウングレードします。
1.14.00.30.3
- 露出した可能性のあるシークレットと資格情報をローテーションします。
- 環境の安全性が確認されるまで、Axios パッケージの 自動更新を無効化します。
- 開発者環境とビルド システムを調査し、特に永続化メカニズムや不審なスクリプト実行の兆候を確認します。
- Microsoft のアドバイザリにある Microsoft Defender の検出とハンティング ガイダンス を活用し、悪意あるコンポーネントと影響ホストを特定します。
要点
Axios npm 侵害は、パッケージ管理と CI/CD パイプラインが現在の主要な攻撃対象領域であることを改めて示しています。セキュリティ チームは、影響を受けたインストールを単なるパッケージ問題ではなく、エンドポイント侵害および資格情報侵害の可能性として扱うべきです。
Microsoftテクノロジーの最新情報を入手