Axiosが乗っ取られ、悪意のあるバージョンが公開される

2026年3月30日、人気のJavaScriptライブラリであるAxiosの主要メンテナのアカウントが乗っ取られ、悪意のあるバージョン（1.14.1および0.30.4）が公開された。この事件は、Axiosの広範な利用基盤に影響を与える可能性がある。

攻撃者はAxiosの主要メンテナーのnpm資格情報を奪い、npm CLIから直接悪意のあるバージョンを公開した。これにより、Axiosは週あたり3億回以上ダウンロードされる人気のライブラリであるため、多くの開発者が影響を受けることとなる。

数字

インストールされた場合、Windows、macOS、Linuxを標的とした遠隔操作トロイの木馬（RAT）がシステムに投下される設計となっている。このRATはC2サーバーと通信を行うことができ、攻撃者に対してシステムの制御を可能にする。

攻撃は約18時間の準備期間を経て実行され、攻撃者はアカウントのメールアドレスをProtonMailアドレスに変更するなどの手段を用いていた。また、攻撃者はGitHub ActionsのCI/CDパイプラインを迂回する手法を採用していた。

StepSecurityは、該当バージョンをインストールした環境は侵害済みとみなすべきだと警告している。このような攻撃は、セキュリティの観点から見ても非常に深刻な問題であり、開発者は注意を払う必要がある。

この事件に関して、ある専門家は「これは類を見ないほど洗練された作戦構造を持っていた」と述べており、今後のセキュリティ対策に対する重要な教訓となる可能性がある。詳細は未確認のままであるが、開発者や企業はこのようなリスクを常に考慮する必要がある。