axiosにサプライチェーン攻撃が発生した話と、担当プロジェクトでやっていた備え

このページは、2026年3月31日に発生したnpmパッケージ「axios」へのサプライチェーン攻撃について解説しています。攻撃者はメンテナーのアクセストークンを窃取し、悪意のあるバージョン（1.14.1と0.30.4）を公開しました。偽の依存パッケージ「plain-crypto-js」を通じてトロイの木馬が仕込まれましたが、Socketにより約6分で検知され、npmセキュリティチームにより約3時間で削除されました。著者の所属プロジェクトではaxiosに依存していなかったため直接影響を受けませんでしたが、Takumi Guardというnpmレジストリプロキシを導入していたため、もし依存していても被害を防げた可能性が高いとしています。増加するサプライチェーン攻撃への対策としてこのようなツール導入を推奨しています。