なぜ検知できなかったのか？ Axiosを襲った「遅延型」サプライチェーン攻撃の技術的解析

一連のインシデントは日本時間の3月31日の9時ごろから12時ごろに終了しました。悪性の「axios@1.14.1」の露出時間は約2時間53分、「axios@0.30.4」は約2時間15分と推定されます。 上記の期間中に以下の操作をした場合、バックドアによる侵害が行われた恐れがあります。 「npm install axios」を実行した場合 依存パッケージにaxiosが含まれており、バージョン固定されていない状態で「npm install」を実行した場合 パッケージの依存ツリーにaxiosが含まれている状態で「npm install」を実行した場合 また、CI/CDパイプラインなどでこの時間帯に「npm install」が行われていた場合にも、パイプラインの実行先サーバーが侵害されている恐れがあります。 現在はnpm上で悪性バージョンは削除済みであり、「plain-crypto-js」も無害

[TakayukiN627]

今回の事象は孤立した事象ではなく、2026年3月だけでもTrivy、LiteLLM、Telnyx、axiosと立て続けにソフトウエアサプライチェーン攻撃が確認されており、実行主体もUNC1069（北朝鮮系）やUNC6780（TeamPCP）と複数の脅威アクター

[misshiki]

axios@1.14.1/0.30.4が依存注入＆postinstallフックで侵害。コードは未改変でスキャナー回避、悪性依存が自動実行される遅延型攻撃。

[atsushieno]

Wave Shaperってバックドアに使うソフトの名前なのか。DTMerにとってはエフェクトプラグインの一般名称なので困惑しかない

[dollarss]

防ぐの難しい攻撃が増えておる…こんなの詰むじゃんね

[nguyen-oi]

axiosみたいな超メジャーがやられると影響デカすぎ。postinstall悪用とか古典的だけど、検知回避の遅延公開は普通にエグい

[llminatoll]

話題のaxiosを媒介したマルウェア、詳しく解説されててよかった / 今回の手口は、axiosのソースコード自体には一切手を触れず、依存パッケージの追加とpostinstallフックという「正規の仕組み」だけを悪用