Slow Fogによる警告
Slow Fogは、悪意のあるAxiosリリースがplain-crypto-jsマルウェアを引き込み、暗号開発者をクロスプラットフォームRATやnpmを介した認証情報の盗難にさらしていると警告しています。
悪意のある依存関係の発見
ブロックチェーンセキュリティ企業のSlow Fogは、新たに公開された [email protected] および [email protected] リリースが悪意のある依存関係である [email protected] を引き込んだ後、緊急のセキュリティリマインダーを発表しました。これにより、JavaScriptで最も広く使用されているHTTPクライアントの1つが、暗号開発者に対するサプライチェーン攻撃の武器となりました。
Axiosの影響とリスク
Axiosはnpmで毎週8000万回以上ダウンロードされており、短期間の侵害でもウォレットバックエンド、トレーディングボット、取引所、Node.js上に構築されたDeFiインフラストラクチャに波及する可能性があります。Slow Fogは、「npm install -gを介して [email protected] をインストールしたユーザーは潜在的に危険にさらされている」と警告し、即時の認証情報のローテーションと、侵害の兆候を探すための徹底的なホスト側の調査を推奨しました。
攻撃のメカニズム
この攻撃は、偽の暗号パッケージである [email protected] に依存しており、これは新しい依存関係として静かに追加され、オブフスケートされたpostinstallスクリプトを実行するためだけに使用され、Windows、macOS、Linuxシステムをターゲットにしたクロスプラットフォームのリモートアクセス型トロイの木馬をドロップします。
「悪意のあるバージョンにはAxios自体の中に悪意のあるコードの1行も含まれていない」と説明し、「両方とも偽の依存関係である [email protected] を注入し、その唯一の目的は、クロスプラットフォームのリモートアクセス型トロイの木馬(RAT)を展開するpostinstallスクリプトを実行することです」と述べました。
セキュリティ対策と推奨事項
npmは現在、悪意のあるバージョンを削除し、Axiosの解決を1.14.0に戻しましたが、攻撃ウィンドウ中に1.14.1または0.3.4を引き込んだ環境は、秘密がローテーションされ、システムが再構築されるまでリスクにさらされ続けます。Slow Fogのアドバイスは明確です:Axiosを1.14.0にダウングレードし、[email protected] やopenclawの痕跡がないか依存関係を監査し、これらの環境に触れた認証情報は侵害されていると仮定してください。
過去のインシデントとの関連性
この侵害は、暗号ユーザーを直接ターゲットにした以前のnpmインシデントを反映しており、2025年にはchalkやdebugなどの18の人気パッケージが静かにウォレットアドレスを入れ替えて資金を盗むキャンペーンがあり、LedgerのCTOであるCharles Guillemetは「影響を受けたパッケージはすでに10億回以上ダウンロードされています」と警告しました。
研究者たちはまた、npmマルウェアがEthereum、XRP、Solanaウォレットからキーを盗む様子を記録しており、SlowMistは暗号ハッキングや詐欺(バックドアパッケージやAI支援のサプライチェーン攻撃を含む)が2025年上半期だけで23億ドル以上の損失を引き起こしたと推定しています。
