オープンソースのJavaScript HTTPクライアント「Axios」に不正なコードが仕込まれたサプライチェーン攻撃。発端となったソーシャルエンジニアリングの手口が明らかになったことで、標的はAxiosにとどまらず、オープンソースエコシステムを狙った攻撃が他にも ...

Developers Summit 2026・Dev x PM Day 講演資料まとめ Developers Boost 2025 講演資料まとめ Developers X Summit 2025 講演資料まとめ Developers Summit 2025 FUKUOKA 講演関連資料まとめ Developers Summit 2025 KANSAI 講演関連資料まとめ ...

攻撃者は何かしらの方法で入手したaxiosメンテナーの認証情報を悪用し、改ざんしたパッケージ「axios@1.14.1」および「axios@0.30.4」を公開したとされる。これらパッケージには依存関係として「plain-crypto-js@4.2.1」が挿入されており、このパッケージが ...

JavaScriptライブラリ「Axios」がサプライチェーン攻撃を受けてリモートアクセス型トロイの木馬を仕込まれた件で、Googleのセキュリティ研究者が調査報告書を提出しました。Googleは、早くとも2018年から活動している北朝鮮関連の脅威アクター「UNC1069」が関与 ...

OpenAIは4月11日、macOS向け自社アプリのセキュリティ証明書を更新すると発表。ChatGPT DesktopやCodex App、Codex CLI、Atlasで、すべてのユーザーに最新版への更新を呼びかけた。3月31日に発生した、JavaScriptライブラリ「Axios」のサプライチェーン攻撃が背景にある。

一連の攻撃には、北朝鮮の集団「UNC1069」が絡んでいると専門家は推測する。米Google傘下のセキュリティ企業Mandiantは2月の時点で、UNC1069が暗号資産を標的に、AI生成動画なども駆使して狙った相手をだます手口を進化させていると伝えていた。 いずれの攻撃 ...

この攻撃ではノードパッケージマネージャー(npm: Node Package Manager)から悪意のあるaxios@1.14.1およびaxios@0.30.4が配布され、当該バージョンをインストールしたWindows、macOS、Linux環境に遠隔操作型トロイの木馬(RAT: Remote Administration Trojan)が展開された。被害環境は ...

3月31日、アンソロピックのAIコーディングツール「Claude Code」の約50万行のソースコードがnpmパッケージの設定ミスで流出。未公開機能や内部ロードマップも露出し、同日発生のaxiosサプライチェーン攻撃とも重なり、AI企業のセキュリティ管理能力が問われる ...