This page collects WhisperX intelligence signals tagged #JavaScript. It is designed for humans, search engines, and AI agents: each item links to a canonical source-backed record with sector, source, timestamp, credibility, and exportable structured data.
オープンソースのJavaScript HTTPクライアント「Axios」が、極めて巧妙なサプライチェーン攻撃の標的となった。ダウンロード数1億を超える人気ライブラリの公式リポジトリに不正なコードが仕込まれ、流通した。MicrosoftとGoogleの分析によれば、この攻撃の背後には北朝鮮のサイバー集団が関与していると推測されており、その高度な手口と影響の広がりが警戒されている。 攻撃の発端は、Axiosのメンテナンスアカウントの乗っ取りだった。攻撃者は、正当な開発者を装い、巧妙なソーシャルエンジニアリング手法を用いてアカウントへのアクセス権を奪取。その権限を悪用し、公式のnpmパッケージリポジトリに悪意のあるコードを含むバージョン...
オープンソースの信頼を悪用した巧妙なソーシャルエンジニアリング攻撃が、人気JavaScriptライブラリ「Axios」への不正コード混入を可能にした。これは単一の事件ではない。同様の手口によるサプライチェーン攻撃がオープンソースエコシステム全体で多発している実態が、今回の調査で明らかになった。攻撃者は、正規のメンテナになりすまし、GitHubアカウントを乗っ取ることで、信頼の基盤そのものを攻撃の足場にしている。 今回の標的となった「Axios」は、多くのWebアプリケーションで利用されるHTTPクライアントライブラリだ。攻撃者は、正当な貢献者を装い、メンテナのGitHubアカウントへのアクセス権を奪取。その権限を悪用して、リポジト...