Axiosにサプライチェーン攻撃:Laravelユーザーも注意・感染確認方法と対策

Laravel

2026年3月31日、人気ライブラリ Axios がサプライチェーン攻撃を受けました。

Axiosはnpmで週間約1億回ダウンロードされている人気ライブラリのひとつ。Laravelのスターターキットにも含まれています。

そのAxiosに、リモートアクセス型トロイの木馬(RAT)が仕込まれたバージョンがnpmに公開されていました。RATとは、攻撃者が感染したPCを遠隔操作できるようにするマルウェアです。

該当バージョンは現在すでにnpmから削除済みですが、公開されていた時間帯にインストールした方は対応が必要です。

なお、ダウングレードだけでは不十分です。具体的に何をしたほうがよいか、対策をまとめています。

何が起きたのか

Axiosのリードメンテナーのnpmアカウントが乗っ取られ、悪意あるバージョンが公開されました。

以下の時間帯に npm install でAxiosをインストールした場合、該当する可能性があります。

日本時間 出来事
3/31 09:21〜 axios@1.14.1 公開
3/31 10:00〜 axios@0.30.4 公開

Laravelユーザーへの影響

Laravel公式のスターターキットには、Axiosが依存パッケージとして含まれています。

たとえばLivewireスターターキットでは "axios": "^1.7.4" と指定されており、npm install 時に自動的に最新の1.x系が解決されます。つまり、該当時間帯に npm install を実行していれば axios@1.14.1 が入った可能性があります。

確認方法

プロジェクトのルートで以下を実行してください。

出力例(安全な場合):

1.14.0以下であればOKです。1.14.1が表示されたら対応が必要です。

また、正規のAxiosには plain-crypto-js という依存パッケージは存在しません。

プロジェクト内で以下のコマンドを実行し、node_modules/plain-crypto-js/ フォルダが見つかった場合も、感染の証拠になります。

「No such file or directory」と出れば問題ありません。

axios compromised on npm: maintainer account hijacked, RAT deployed
Malicious axios versions 1.14.1 and 0.30.4 were published via a hijacked maintainer account. A hidden dependency deploys a cross-platform RAT. Check if you are ...
www.aikido.dev

該当していた場合の対策

まずはダウングレードですが、それだけでは不十分です。

1. 安全なバージョンにダウングレード

2. マルウェアの痕跡を確認

OSごとに以下のファイルが存在しないか確認してください。

OS 確認するファイル 確認コマンド
macOS /Library/Caches/com.apple.act.mond ls -la /Library/Caches/com.apple.act.mond
Windows %PROGRAMDATA%\wt.exe dir %PROGRAMDATA%\wt.exe
Linux /tmp/ld.py ls -la /tmp/ld.py

「ファイルが見つかりません」と表示されれば、そのファイルは存在しません(=この痕跡はなし)。ファイルが見つかった場合は、マシンが侵害された可能性があります。

Just a moment...
thehackernews.com

3. パスワード・APIキーをすべて作り変える

該当マシン上でアクセス可能だったすべての秘密情報を新しいものに作り変えてください。

  • npmトークン
  • APIキー(AWS、GCP、各種SaaSなど)
  • SSH鍵
  • .env ファイル内のシークレット(DBパスワード、APIキーなど)

4. 攻撃者サーバーへの通信を確認

マルウェアは sfrclak.com(IPアドレス: 142.11.206.73)という攻撃者のサーバーに接続します。

ネットワークログが確認できる環境であれば、このドメインやIPへの接続がないか確認してください。

ただし、マルウェアは実行後に痕跡を消す設計のようで、ログに残っていないからといって安全とは言い切れません。

痕跡が見つからなくても、該当バージョンをインストールしていた場合は「手順3」のパスワード・APIキーの作り変えをご検討ください。

axios Compromised on npm - Malicious Versions Drop Remote Access Trojan - StepSecurity
Hijacked maintainer account used to publish poisoned axios releases including 1.14.1 and 0.30.4. The attacker injected a hidden dependency that drops a cross pl...
www.stepsecurity.io

まとめ

やること 目的
npm ls axios で確認 該当バージョンが入っていないか確認
ダウングレード これ以上のマルウェア再実行を防ぐ
マルウェア痕跡の確認 マシンが侵害されているか判断
パスワード・APIキーを作り変える 漏洩した可能性のある情報を無効化
ネットワークログ確認 攻撃者サーバーへの通信があったか確認

なお、今回のマルウェアは自分自身を削除する仕様なようです。ただ、痕跡は残っています。

まずはバージョン情報など記事でご紹介した点を行って、黒か白かチェックしてください!

なお、今からインストールする方は問題ありません。 該当バージョンはnpmから削除済みで、現在のlatestは axios@1.14.0 です。

Laravel Laravelセキュリティ

【Laravelの教科書・プレゼント】

Junko
Laravelの使い方を覚えたい!と思ったら、ぜひ、役立ててほしいです。 基礎編は無料でプレゼント中です♪
ひつじプログラマ
会員制サイトをいちから作っていくよ。ボタンをクリックして詳細を見てね。
Laravelの教科書の詳細を見る

最新版テキストに加え、Laravel8版~Laravel11版もご用意しています♪

【無料プレゼント】

「LaravelでWebアプリをいちから作れるようになりたい!」

そんなLaravel初心者のあなたへ【Laravelの教科書】基礎編プレゼント中! 会員制フォーラムサイトを学習しながら作れます。

詳細はこちらをクリック

最新版テキストに加え、Laravel8版からLaravel11版もご用意しています♪

Laravelの本を書きました。


ひつじが目印♪

Laravelの使い方を分かりやすく解説した書籍を出版しました。 ご好評につき、最新版に対応した改訂版を2025年7月に発売
書店やAmazon等のオンラインショップにて販売中です。 詳しくは下記ボタンをクリック

書籍の詳細を見てみる

Laravelの本書きました。


ひつじが目印♪
クリックするとamazonページへ。

Laravelの使い方を分かりやすく解説した書籍を出版しました。ご好評につき最新版対応の改訂版発売。書店やAmazon等のオンラインショップにて販売中です。

書籍の詳細を見てみる
シェアする
Twitter始めました。
Junko
40代からプログラミング!
タイトルとURLをコピーしました