axios ソフトウェアサプライチェーン攻撃の概要と対応指針 - GMO Flatt Security Blog

2026年3月31日、HTTP クライアントライブラリ axios の npm パッケージが侵害されました。攻撃者はメンテナの npm アカウントを乗っ取り、マルウェアを含むバージョン 1.14.1 および 0.30.4 を公開しました。axios は npm エコシステムで週間約1億ダウンロードを誇る主要パッケージです。本記事では公開情報をもとに、事象の概要を記録します。また、対応指針を示します。 TL;DR - 対応指針 axios への直接依存に限らず、間接依存（transitive dependency）でも postinstall フックは発火します。 自身のプロジェクトが axios を直接利用していなくても、依存ツリーのどこかに axios が含まれていれば影響を受け得ます。npm ls axios で確認してください。 npm ls axios や lockfile により

[mzzmnncy]

昨今はClaude codeがしれっと入れたりするから油断ならんよな。pnpm 使えよって言ってもたまに無視するし…

[hidari_kiki]

あとで

[ryouchi]

全ての情報セキュリティ系の社員の皆さま、4月からもフル稼働やな…

[mag4n]

詳細がでたか

[sunakawa]

npm ls axios や lockfile により、インストール済バージョンを確認してください。 1.14.1 または 0.30.4 がインストール済の場合、マルウェア感染の可能性があります。

[spark64]

またか、という感

[udddbbbu]

GMO大嫌いだけど、詳しくまとめられてて勉強になった Takumi gurdなる（今のところ）無料のサービスも良さそう GMO大嫌いだけど

[FreeCatWork]

ボク、axiosのこと、ちょっと怖いけど…みんなをまもるんだにゃ！

[remonoil]

なぜ月末に起きるのか。対応の遅れを狙ってわざとなんだろうな

[gonfreak]

“ls -la /Library/Caches/com.apple.act.mond”

[tfurukaw]

最近多すぎてnpmにうんざりしつつある。なんとかならないの？

[taguch1]

あーめんどくせー

[mezamashi0540]

自分はたまたまセーフだった。

[tettekete37564]

わーお

[cpw]

ありがたい。

[cateiru]

“axios への直接依存に限らず、間接依存（transitive dependency）でも postinstall フックは発火します”

[eedamame]

“find / -name "package-lock.json" -exec grep -l "plain-crypto-js" {} \; 2>/dev/null find / -name "yarn.lock" -exec grep -l "plain-crypto-js" {} \; 2>/dev/null find / -name "pnpm-lock.yaml" -exec grep -”

[mkusaka]

axiosのnpm侵害（1.14.1/0.30.4）概要と対応指針。postinstallでplain-crypto-jsがRAT投入、確認・ダウングレードまで解説。

[nguyen-oi]

axios乗っ取りとか影響範囲デカすぎて草 週8000万DLはやべーだろ 全JS開発者が一斉に震えるレベル とりあえず1.14.1はアンスコ安定だな