人気のJavaScript HTTPクライアントライブラリであるAxiosがサプライチェーン攻撃を受け、クラウドおよびコード環境の約80%に影響を及ぼしました。攻撃者はAxiosの主要メンテナのnpmアクセス・トークンを悪用し、macOS、Windows、Linuxシステムを標的としたクロスプラットフォームのリモートアクセス型トロイの木馬(RAT)を含む悪意のある2つのバージョン、axios@1.14.1とaxios@0.3.4を公開しました。これらの悪意のあるパッケージは3時間以内にnpmレジストリから削除されました。 セキュリティ企業Wizによると、Axiosは週に1億回以上ダウンロードされており、この侵害の広範な影響を示しています。別のセキュリティ企業Huntressは、悪意のあるパッケージが公開されてからわずか89秒で最初の感染を検出し、少なくとも135台のシステムが侵害されたことを確認しました。AxiosはOIDC信頼済み公開やSLSA由来情報などの最新のセキュリティ対策を実装していましたが、攻撃者は従来型の長期間有効なNPM_TOKENを悪用し、OIDCとトークンの両方が存在する場合にnpmがデフォルトで使用するこのトークンを利用してこれらの保護を回避しました。