Windows Centralは2026年4月7日(米国時間)、「"This was not opportunistic. It was precision." - How North Korean hackers used Microsoft Teams and Slack to compromise Windows PCs with an elaborate ploy|Windows Central」において、JavaScript HTTPクライアントライブラリ「axios」の侵害事案に関する最新情報を伝えた。
本事案は北朝鮮に関係する脅威グループ「UNC1069」によるものと推測され、事前に準備された狡猾なソーシャルエンジニアリング攻撃によりaxiosメンテナーを務めるJason Saayman氏のアカウントを侵害してサプライチェーン攻撃を仕掛けたという。
-
SlackやTeamsを使った巧妙な手口で、人気ライブラリ「axios」が侵害された Photo:PIXTA
なぜ「axios」は侵害されたのか?
この攻撃ではノードパッケージマネージャー(npm: Node Package Manager)から悪意のあるaxios@1.14.1およびaxios@0.30.4が配布され、当該バージョンをインストールしたWindows、macOS、Linux環境に遠隔操作型トロイの木馬(RAT: Remote Administration Trojan)が展開された。被害環境は攻撃者の完全な制御下に置かれ、すべての情報を窃取された可能性がある。
悪意のあるバージョンの配布期間は3月31日午前9時21分(日本時間)から午後12時15分までの約3時間とされる。3月26日から4月1日までの週間ダウンロード回数は約1億111万回のため、平均すると約180万回ダウンロードされた計算になる。
攻撃者はどうやってメンテナーをだましたのか?
アカウントを侵害されたSaayman氏は、GitHubのaxiosプロジェクトに事の顛末を報告している(参考:「Post Mortem: axios npm supply chain compromise · Issue #10636 · axios/axios」)。この報告によると、攻撃者はとある企業の創業者になりすまして、攻撃の約2週間前に接触してきたという。
攻撃者たちは説得力のある外観を備えたSlackワークスペースに招待し、ミーティングを設定。ミーティングはMicrosoft Teamsで行われ、関係者と思われるグループも参加していたとされる。
ミーティングが始まると攻撃者はSaayman氏のシステムの一部が古いと指摘し、不足しているコンポーネントのインストールを要求。そのコンポーネントが遠隔操作型トロイの木馬だったとされる。
なぜ2FAでも防げなかったのか?
デバイスを支配された後の活動は定かでないが、Saayman氏はアカウントに二要素認証(2FA: Two-Factor Authentication)を設定していたにもかかわらずアカウントを侵害されたと報告している。
なお、この一連の攻撃手法はGoogleが2月10日(米国時間)に公開したUNC1069の調査レポート「UNC1069 Targets Cryptocurrency Sector with New Tooling and AI-Enabled Social Engineering | Google Cloud Blog」と同様の手法と評価されている。
また、攻撃者は創業者の容姿をそっくりまねていたとされ、会議ではディープフェイク技術が悪用された可能性がある。Saayman氏は「すべてが極めて綿密に計画され、本物らしく見え、プロフェッショナルなやり方で行われた」と述べ、見抜くことの難しさを伝えている。
影響はどこまで広がったのか?
配布開始から削除までの流れは次のとおり。
- 3月31日午前9時21分(日本時間)、悪意のあるaxios@1.14.1が公開される
- 午前10時ごろ、悪意のあるaxios@0.30.4が公開される
- 午前10時22分ごろ、StepSecurityが攻撃を検出する
- コミュニティーメンバーが侵害を報告するも、攻撃者によって報告が削除される
- axiosコラボレーターがプルリクエストを送り、コミュニティーおよびNPMに直接報告したことで対策が進行
- 午後12時15分に当該パッケージが削除される
短時間ながら広範囲に配布されたことから、多くの開発者環境に影響が及んだ可能性がある。
開発者は何を確認すべきか?対策はあるのか?
現在axiosは同様の被害を防止するために、すべてのデバイスと認証情報のリセット、変更不可能なリリース設定、公開時のOIDC(OpenID Connect)フローの導入、全体的なセキュリティ体制の改善、すべてのGitHubアクションの更新を実施中とされる。また、これら対策の実施後も、さらなるセキュリティ強化を進める予定としている。
このインシデントの影響の有無についてはStepSecurityが公開している手順「axios Compromised on npm - Malicious Versions Drop Remote Access Trojan - StepSecurity」が参考になる。回復手順も公開しており、慎重かつ速やかに対策することが望まれている。
