Axios NPM サプライチェーン攻撃の仕組みとAPIプロジェクトの保護方法

簡単に言うと (TL;DR) 2026年3月31日、攻撃者によって、週に8300万回以上ダウンロードされるJavaScript HTTPクライアント「Axios」のプライマリメンテナーのnpmアカウントが侵害されました。侵害後、開発者マシンから認証情報・SSHキー・クラウドトークンを窃取するクロスプラットフォームのRAT（リモートアクセスツール）を含む悪意のあるバージョン（1.14.1と0.30.4）が公開されました。 直ちにAxios 1.14.0にダウングレードし、すべてのシークレットをローテーションし、システムの痕跡スキャンを実施してください。 今すぐApidogを試す はじめに Axiosは、JavaScriptエコシステムで最も多くHTTPリクエストを処理しているライブラリです。APIクライアント構築、エンドポイントテスト、フロントエンドとバックエンド接続など、ほとんどの開発者が利用経験を持っています。 2026年3月31日00:21 UTC、脅威アクターがAxios 1.14.1を乗っ取られたメンテナーアカウントで公開しました。パッケージは見た目上正規と同じで、唯一の変更はpackage.jsonにファントム依存plain-crypto-jsを追加したこと。これにより、npm install時にRATが展開されました。2〜3時間でnpmによって削除されましたが、その間に多くの開発者が影響を受けた可能性があります。 💡 API開発・テスト時、この攻撃は直接あなたのツールチェーンを標的にしました。Apidogの組み込みHTTPクライアントなら、サードパーティ製HTTPライブラリの必要性がなくなり、攻撃対象領域を大幅に縮小できます。セキュリティ監査手順を実施する際は、Apidogを活用してください。 この記事では、攻撃手法、侵害検出方法、APIチームの依存関係管理ガイドラインを徹底的に解説します。 Axiosサプライチェーン攻撃の展開方法 タイムライン 攻撃者は18時間で以下のステップを実行しました。 3月30日 05:57 UTC: [email protected]（クリーンなデコイ）公開 3月30日 23:59 UTC: [email protected]（postinstallフック付き悪性バージョン）公開 3月31日 00:21 U