Naoto Koizumi
97 posts


Timeeにジョインしました🏃
入社を決めた理由、入社1ヶ月で感じたことについて書きました✏️
入社1ヶ月。第二創業期のタイミーで挑むPlatform Engineeringの面白さ|naotoko @naotoko_ #入社エントリ note.com/naotoko_/n/n8a…
日本語
Naoto Koizumi retweetledi

タイミー、株式会社NTTドコモ及び住信SBIネット銀行株式会社と金融領域における業務提携に関する基本合意書を締結〜銀行サービスを含む金融プラットフォーム提供に向けた検討を本格化〜
corp.timee.co.jp/news/detail-66…
日本語
Naoto Koizumi retweetledi
Naoto Koizumi retweetledi

JavaScriptの主要HTTPクライアントライブラリaxiosのnpm正規アカウントが乗っ取られ、RAT(遠隔操作ツール)を投下する悪意あるバージョンが公開されていたと報告されています。npmでは同様の手口が繰り返されていますが、今回は週間8,300万回以上ダウンロードされ17万件超のパッケージが依存するaxios自体が直接の標的となりました。
偽パッケージではなく正規のaxios自体が汚染されており、通常どおりインストールするだけで感染するおそれがある状態だったとのこと。
攻撃者はGitHub Actionsを使った自動テスト・公開のパイプラインを経由せず、奪取したメンテナーアカウントのメールアドレスを匿名のProtonMailに変更したうえで、npmのコマンドラインツールから手動で公開したとされています。
リポジトリ側のコードレビューやセキュリティチェックが介在しない経路であり、検知が困難だった模様。
現在、悪意あるバージョンはnpmから削除済みですが、インストール済みの環境ではRATが動作している可能性があり、該当バージョンを導入した場合はシステムが侵害された前提での対応が推奨されています。
【攻撃手口の概要】
・汚染されたバージョンはaxios@1[.]14[.]1とaxios@0[.]30[.]4の2つ。安全な最新版はそれぞれ1[.]14[.]0と0[.]30[.]3
・攻撃者はメンテナー(jasonsaayman)のnpmアカウントの認証情報を窃取。メールをifstap@proton[.]meに変更したほか、nrwiseという別のnpmアカウントも関与が確認されている
・悪意あるバージョンにはplain-crypto-js@4[.]2[.]1という偽の依存パッケージが追加されている。axios本体からは一切参照されておらず、インストール直後に自動実行されるpostinstallスクリプトを走らせることだけが目的
・このスクリプトがmacOS・Windows・Linuxに対応したドロッパーとして機能。C2サーバー(sfrclak[.]com / 142[.]11[.]206[.]73)からOS別の第2段階ペイロードを取得
・実行後はマルウェア自身を削除し、パッケージの構成情報ファイル(package[.]json)を正規版に差し替えることで痕跡を消去。侵害調査での発見を遅らせる狙いとみられる
2025年9月以降、npmメンテナーの認証情報を起点とするサプライチェーン攻撃が繰り返し発生しています。今回もGitHub Actionsのパイプラインが迂回され、npm CLIから直接公開されていました。利用者側の予防策として、CI環境でのnpm install --ignore-scripts(インストール時のスクリプト自動実行を無効化するオプション)の利用などが挙げられています。
stepsecurity.io/blog/axios-com…
日本語







