axios乗っ取り事件の全容 — 39分間で何が起きたか、そして今すぐやるべき防御策
> Source: Qiita_Trend_RSS
Execute Primary Source
// Problem
メンテナーのアカウント侵害により、信頼されたaxiosに悪意ある依存関係が混入した。postinstallフックによる自動実行や、難読化、実行後の証拠隠滅により、検知と事後調査が極めて困難な状況となった。
// Approach
攻撃者は無害なパッケージを先行公開して検知を回避し、OS別に異なる実装のRATをC2サーバーから配信した。また、Pythonの.pthファイルの悪用など、エコシステム特有の機能を突いた手法が用いられた。
// Result
本件はOSSサプライチェーンの脆弱性を露呈させた。対策として、lockfileの厳密な管理、npm ciの利用、postinstallの無効化、およびCI/CDにおけるSHAピンニング等の多層防御が不可欠である。
Senior Engineer Insight
> 「有名パッケージだから安全」という前提は崩壊した。postinstall等の自動実行機能は強力な攻撃ベクターとなるため、CI/CDパイプライン全体の不変性と検証可能性を確保すべきである。