axios セキュリティ問題！悪質コード混入の衝撃

みなさん、こんにちは。今回は JavaScript の人気 HTTP クライアントライブラリ「axios」に関する重要なセキュリティ問題についてお伝えします。

axios のメンテナアカウントが乗っ取られ、悪意あるコードが混入

ブロックチェーンセキュリティ企業の Slow Fog が、axios のメンテナアカウントが不正アクセスを受けたことで、悪意あるバージョンが npm に公開されたと警告を出しました。具体的には、axios@1.14.1 と axios@0.3.4 のリリースに、偽の暗号化パッケージ plain-crypto-js が依存関係として紛れ込んでいました。

この偽パッケージは、インストール後に実行されるスクリプトを通じて、Windows、macOS、Linux のクロスプラットフォームで動作するリモートアクセス型トロイの木馬（RAT）を仕込むものでした。つまり、開発者の環境が遠隔操作され、秘密情報や認証情報が盗まれるリスクがあったわけです。

影響と対策

axios は npm で週に 8,000 万回以上ダウンロードされている非常に広く使われているライブラリなので、今回のようなサプライチェーン攻撃は、ウォレットのバックエンドや取引ボット、取引所、DeFi インフラなど、Node.js を使った多くのクリプト関連サービスに波及する可能性があります。

Slow Fog は、影響を受けたバージョンを使ったユーザーに対し、すぐに認証情報の変更（クレデンシャルのローテーション）と、ホスト環境の詳細な調査を行うよう強く推奨しています。また、npm は既に悪意あるバージョンを削除し、axios のバージョンを 1.14.0 に戻していますので、速やかにダウングレードすることが望ましいです。

背景と過去の事例

今回の攻撃は、npm のアカウント情報が盗まれたことにより、通常の GitHub ベースのリリースフローを迂回して悪意あるコードが混入されたものです。過去にも npm を狙った攻撃は多く、特にクリプト関連のパッケージを通じて秘密鍵やウォレット情報を盗む事例が報告されています。

例えば、2025年には人気パッケージがウォレットアドレスをすり替える攻撃があり、Ledger の CTO も警鐘を鳴らしていました。こうしたサプライチェーン攻撃は、AI を使った新たな手法も登場しており、今後も注意が必要です。

今回の件は、JavaScript エコシステムの脆弱性を改めて浮き彫りにしたと言えそうです。開発者の皆さんは、依存関係の監査や環境のセキュリティ管理を一層強化する必要があるでしょう。引き続きウォッチしていきたいですね！