1M AI News のモニタリングによると、サプライチェーンセキュリティ企業 Socket の研究チームは本日、広く使用されている JavaScript の HTTP リクエストライブラリ axios がサプライチェーン攻撃を受けたことを明らかにしました。2 つの新しくリリースされたバージョン(v1.14.1 および v0.30.4)はいずれも悪意のある依存関係を含んでおり、またこれらのバージョンは axios の公式 GitHub Release の履歴に登場していないため、当該プロジェクトの通常のリリース手順から逸脱しています。
2 つのバージョンはいずれも、悪意のあるパッケージ plain-crypto-js@4.2.1 を導入しています。この悪意のあるパッケージは 3 月 30 日 23:59:12 UTC に公開され、Socket の自動化検知は約 6 分後にこれをフラグ付けしました。Socket は、このタイミングが axios の新バージョン公開と非常に一致しており、悪意のある依存関係が axios のリリースに合わせて投入(協調的な投下)されたことを示していると指摘しています。悪意のあるパッケージに関連付けられた npm アカウントは jasonsaayman であり、Socket はこれにより「未承認の公開、またはアカウントが侵害された」ことへの懸念が生じていると述べています。
Socket は開発者に対し、プロジェクトの依存関係と lockfile に axios@1.14.1、axios@0.30.4、または plain-crypto-js@4.2.1 が含まれていないかを直ちに確認し、見つかった場合は既知の安全なバージョンへ即時にロールバックするよう勧めています。事件は引き続き調査中です。
