axiosパッケージを標的としたサプライチェーン攻撃

サプライチェーン攻撃によりaxiosバージョン1.14.1が侵害され、依存関係として[email protected]をサイレントに取り込むようになりました。このパッケージは難読化されたRAT（リモートアクセス型トロイの木馬）ドロッパーです。NPMは悪意のあるバージョンを削除しましたが、脆弱性が存在していた期間中にインストールした開発者は感染している可能性があります。

リスクにさらされるAI支援開発ワークフロー

この攻撃は特にClaudeのようなAIコーディングアシスタントを使用している開発者を標的にしています。ソースによると、AIコーディングでは、開発者はしばしばAIにパッケージのインストールを任せ、package.jsonの差分を確認したり、取り込まれる依存関係を監査したりしないことがあります。攻撃者は、開発者がプロジェクトを構築し、手動での検証なしにインストールを実行する自動化されたワークフローへの信頼を悪用しています。

即時の検出と修復手順

感染を確認するために以下のコマンドを実行してください：

# ロックファイルをチェック

grep -r "plain-crypto-js" package-lock.json
grep -r "[email protected]" package-lock.json
永続化アーティファクトをチェック
ls -la /library/caches/com.apple.act.mond  # macOS
ls /tmp/ld*  # Linux

悪意のあるパッケージが見つかった場合：

• 直ちに[email protected]にロールバックしてください
• すべてのキーと認証情報（AWS認証情報、APIキーなど）をローテーションしてください
• プロジェクト内のすべてのロックファイルを監査してください

予防策

ソースでは、バージョンを固定し、AIアシスタントが取り込む依存関係を手動で監査することを推奨しています。開発者は自動化されたインストールを減速させ、実際にプロジェクトに追加されるパッケージを読むべきです。