【緊急】axios がサプライチェーン攻撃 2026.03.31

このページは、2026年3月31日にnpmの人気HTTPクライアントライブラリ「axios」がサプライチェーン攻撃を受けたことについての報告です。攻撃者はリードメンテナーのアカウントを乗っ取り、マルウェア含有の2つのバージョン（axios@1.14.1と@0.30.4）を公開しました。悪意ある依存パッケージ「plain-crypto-js@4.2.1」がpostinstallスクリプトで実行され、クロスプラットフォーム対応のリモートアクセストロイの木馬として機能します。正規バージョン（@1.14.0と@0.30.3）への更新が推奨されています。攻撃の特徴は、CI/CDパイプラインを完全に迂回し、npmCLIから直接パブリッシュされた点です。