「Axios」偽装コミットは氷山の一角：オープンソースエコシステムを狙う「信頼悪用」攻撃が多発

オープンソースの信頼を悪用した巧妙なソーシャルエンジニアリング攻撃が、人気JavaScriptライブラリ「Axios」への不正コード混入を可能にした。これは単一の事件ではない。同様の手口によるサプライチェーン攻撃がオープンソースエコシステム全体で多発している実態が、今回の調査で明らかになった。攻撃者は、正規のメンテナになりすまし、GitHubアカウントを乗っ取ることで、信頼の基盤そのものを攻撃の足場にしている。

今回の標的となった「Axios」は、多くのWebアプリケーションで利用されるHTTPクライアントライブラリだ。攻撃者は、正当な貢献者を装い、メンテナのGitHubアカウントへのアクセス権を奪取。その権限を悪用して、リポジトリに悪意あるコードを含むコミットをプッシュした。この手口は、コードの技術的脆弱性ではなく、人間とプロセスへの「だまし」に依存しており、従来のセキュリティ対策では検知が困難だ。

この事件は、単一パッケージの侵害リスクを超え、オープンソース開発の根本的なコラボレーションモデルに潜むリスクを露呈させた。無数のプロジェクトが依存する基盤ライブラリが、メンテナの個人アカウントのセキュリティに依存している現状は、生態系全体の脆弱性となりうる。開発者は、依存パッケージの更新を盲目的に信頼できず、メンテナンスプロセス自体の完全性に対する新たなレベルの警戒が求められる段階に入った。