北朝鮮関与の巧妙な攻撃が「Axios」を直撃、1億超ダウンロードのJavaScriptライブラリに不正コード混入

オープンソースのJavaScript HTTPクライアント「Axios」が、極めて巧妙なサプライチェーン攻撃の標的となった。ダウンロード数1億を超える人気ライブラリの公式リポジトリに不正なコードが仕込まれ、流通した。MicrosoftとGoogleの分析によれば、この攻撃の背後には北朝鮮のサイバー集団が関与していると推測されており、その高度な手口と影響の広がりが警戒されている。

攻撃の発端は、Axiosのメンテナンスアカウントの乗っ取りだった。攻撃者は、正当な開発者を装い、巧妙なソーシャルエンジニアリング手法を用いてアカウントへのアクセス権を奪取。その権限を悪用し、公式のnpmパッケージリポジトリに悪意のあるコードを含むバージョンを公開した。この不正コードは、特定の条件で外部サーバーから追加のペイロードをダウンロードする機能を持ち、ユーザー環境へのさらなる侵入を可能にするものだった。

AxiosはReactやVue.jsなど現代のフロントエンド開発で広く利用される基盤ライブラリであり、攻撃が成功していれば無数のWebアプリケーションとサービスが危険に晒される可能性があった。今回の事案は、オープンソースソフトウェア（OSS）のセキュリティが、単なるコードの脆弱性だけでなく、メンテナのアカウント管理という人的要素に依存する脆弱な側面を露呈させた。国家関与が疑われる高度な攻撃者がOSSエコシステムを標的にする動向は、開発者コミュニティと企業のセキュリティ対策に新たな次元の圧力を加えている。