2026年3月31日にaxiosが受けたサプライチェーン攻撃の概要と予防策「クールダウン」機能について

何が起きたのか

axiosのリードメンテナーのnpmアカウントが侵害され、悪意あるバージョンが公開されました。

• 影響バージョン: axios@1.14.1 、 axios@0.30.4
• 安全なバージョン: axios@1.14.0 、 axios@0.30.3

攻撃者は事前に plain-crypto-js という悪意あるパッケージを公開し、axiosの依存関係に追加。
npm install を実行するだけで、 postinstall フックを通じてRAT（遠隔操作トロイの木馬）がインストールされる仕組みでした。

macOS、Windows、Linuxすべてに対応したペイロードが用意されており、Command and Controlサーバー（以下C2サーバー）との通信後に痕跡を自己削除するという巧妙な手口です。CIを含むすべての環境が対象となります。

今回の攻撃はGitHub ActionsやOIDC署名といった正規のリリースフローを経由せず、侵害したアカウントからnpm CLIで直接パブリッシュされています。つまり、バージョンを指定せずにパッケージを新規インストールすると、公開直後の悪意あるバージョンをそのまま取り込んでしまうリスクがあります。

こうした「公開直後の最新バージョンを狙う」サプライチェーン攻撃は増加傾向にあり、axiosに限った話ではありません。

クールダウンは、パッケージの新バージョンが公開されてから一定期間はインストール対象としない仕組みです。公開直後のバージョンを自動的に取り込まないことで、コミュニティが悪意あるコードを検出・報告する時間的猶予を確保できます。

2025年後半から主要なパッケージマネージャーが相次いでこの機能を実装しています。

以下、7日間のクールダウンを設定する例です。

npm

グローバル設定（~/.npmrc に追記）:

プロジェクト単位（.npmrc に追記）:

pnpm

グローバル設定:

プロジェクト単位:

※ pnpmは postinstall がデフォルトで無効のため、今回のような攻撃への耐性が高い点も注目です。

Python（uv）

グローバル設定（環境変数）:

プロジェクト単位（pyproject.toml に追記）:

Python（pip）

pipは相対的な期間指定（7日間など）には対応しておらず、絶対日時で「この日時以前に公開されたバージョンのみ」を指定する方式です。.bashrc や .zshrc に追記してください。

※ 絶対日時のため、定期的に値を更新する必要があります。

yamoryをご利用のお客様へ

yamoryをご利用中のお客様については、該当脆弱性の存在をチェックする緊急脆弱性スキャンを行っております。お手元に緊急脆弱性通知が届いていなければ、yamoryに登録されているソフトウェアについて、該当のソフトウェアとバージョンが存在しないことが確認されております。

サプライチェーン攻撃は、いつ・どのパッケージが対象になるか予測できません。lockfileの活用に加えて、クールダウン設定を導入することで、公開直後の悪意あるバージョンを自動的に取り込むリスクを大幅に減らすことができます。まだ設定していない方は、この機会にぜひ導入を検討してください。