ゲートニュースのメッセージによると、4月2日、JavaScriptで最も人気のあるHTTPクライアントライブラリAxiosがサプライチェーン攻撃を受けました。攻撃者はAxiosの首席メンテナーのnpmアクセス・トークンを窃取し、そのトークンを使って、クロスプラットフォームのリモートアクセス型トロイの木馬(RAT)を含む2つの悪意あるバージョン(axios@1.14.1 と axios@0.30.4)をリリースしました。ターゲットはmacOS、Windows、Linuxの各システムです。悪意のあるパッケージはnpmレジストリ上で約3時間生存した後に削除されました。セキュリティ企業Wizのデータによれば、Axiosの週間ダウンロード数は1億回を超え、クラウドおよびコード環境の約80%に存在します。セキュリティ企業Huntressは、悪意のあるパッケージが公開されてから89秒後に最初の感染を検知し、露出ウィンドウ期間内に少なくとも135のシステムが侵害されたことを確認しました。注目すべき点として、AxiosプロジェクトはこれまでにOIDCの信頼できる公開メカニズムやSLSAのトレーサビリティ証明などの最新のセキュリティ対策を導入していましたが、攻撃者はそれらの防御を完全に回避しました。調査により、プロジェクトはOIDCを設定している一方で、依然として従来の長期有効なNPM_TOKENを保持しており、npmは両者が共存するときにデフォルトで従来のトークンを優先して使用するため、攻撃者はOIDCを突破する必要なくリリースを完了できたことが判明しました。
