axiosのnpmサプライチェーン侵害、ソーシャルエンジニアリングによるメンテナ認証情報の窃取に起因 | Codebook|Security News
セキュリティニュース
サイバーインテリジェンス
特集
情報セキュリティ
Codebook|Security News > Articles > Threat Report > デイリーサイバーアラート > axiosのnpmサプライチェーン侵害、ソーシャルエンジニアリングによるメンテナ認証情報の窃取に起因

デイリーサイバーアラート

Silobreaker-CyberAlert

サプライチェーン

ソーシャルエンジニアリング

axiosのnpmサプライチェーン侵害、ソーシャルエンジニアリングによるメンテナ認証情報の窃取に起因

佐々山 Tacos

佐々山 Tacos

2026.04.06

axiosのnpmサプライチェーン侵害、ソーシャルエンジニアリングによるメンテナ認証情報の窃取に起因

The Hacker News – Apr 03, 2026

axiosに対する最近のサプライチェーン攻撃では、非常に巧妙なClickFix風ソーシャルエンジニアリング手法によってメンテナのnpmアカウント認証情報が窃取されていたという。メンテナ自身が認めている。

 

このサプライチェーン攻撃は、北朝鮮との関連が疑われるハッカーUNC1069がaxiosのメンテナJason Saayman氏のnpmアカウントを乗っ取り、リモートアクセス型トロイの木馬(RAT)を配布する有害バージョンのaxios npmパッケージをリリースしたというもの。

 

詳しくはこちらの記事で:

関連記事

デイリーサイバーアラート

Silobreaker-CyberAlert

サプライチェーン

北朝鮮

axiosに対するサプライチェーン攻撃、北朝鮮関連のアクターが関与の疑い

佐々山 Tacos

佐々山 Tacos

2026.04.01

Silobreaker-CyberAlert

サプライチェーン

北朝鮮

Saayman氏によれば、同氏のアカウントを盗むために攻撃者は入念にカスタマイズされたソーシャルエンジニアリング手法を利用。攻撃者はまず、実在する著名企業の創業者を装ってSaayman氏に接触し、当該企業のSlackワークスペースへSaayman氏を招待したという。

 

その後、攻撃者はSaayman氏とのMicrosoft Teamsミーティングをセッティング。このビデオミーティング中に、Saayman氏のシステムの一部が最新化されていないと伝える偽のエラーメッセージを表示し、アップデートするよう促したとされる。しかし、Saayman氏がTeams関連のアップデートだと思い込んでインストールしたものは、実際にはリモートアクセス型トロイの木馬(RAT)だったという。このRATを利用することで、攻撃者はSaayman氏のnpmアカウントを乗っ取るのに必要な認証情報の窃取に成功している。

 

Saayman氏は攻撃の一連のプロセスについて、「すべてが非常に綿密に調整されており、本物らしく見え、プロフェッショナルなやり方で進められていた」とコメント。UNC1069の手法がいかに巧妙であったかを強調した。

 

しかし、同様の手法で標的にされた開発者はSaayman氏だけではないとみられる。Socketが4月3日に公開したブログ記事によれば、以下を含むNode.jsエコシステムのメンテナ複数人が、似たようなソーシャルエンジニアリング手法で狙われたことを明かしているという。

  • Jordan Harband氏:Socketのエンジニアで、ECMAScriptのShimとPolyfillの維持管理を担う人物。
  • John-David Dalton氏:人気のJavaScriptユーティリティライブラリLodashのクリエイターで、Socketのエンジニア。
  • Matteo Collina氏:Fastify、Pino、Undiciのリードメンテナ。
  • Scott Motte氏:dotenvのクリエイター。
  • Pelle Wessman氏:mocha、neostandard、npm-run-all2、type-festのメンテナ。
  • Jean Burellier氏:Node.jsのコア開発者であり、Expressのコントリビューター。

 

このうちWessman氏のケースでは、攻撃者は「ポッドキャストの録音」に同氏を招待。そのためのビデオ会議の中で、「技術的なエラー」に関するメッセージが表示され、Wessman氏はこれを「修正」するためにあるアプリをダウンロードするよう要請されたという。同氏がこれを拒否すると、攻撃者は戦術を変え、今度はcurlコマンドをTerminalアプリで実行するよう指示。Wessman氏がこれにも応じなかったため、攻撃者はそれまでの会話履歴をすべて消去し、姿を消したとされる。

 

またBurellier氏のケースでは、攻撃者は「Openfort」という企業の広報担当者を装ってLinkedInメッセージを同氏に送付。信頼関係を育む取り組みののち、攻撃者はSlackワークスペースへBurellier氏を招待し、Saayman氏のケースと同様にTeamsでのミーティングを設定すると、ミーティングの中で偽のアップデートをインストールさせようとした。Burellier氏がこれを拒否し、別日に改めてミーティングをやり直してはどうかと提案したところ、攻撃者は同氏をSlackから削除し、会話をすべて削除したという。

 

Socketは、標的になったアカウントが今では「npmレジストリ内で最も広く利用されているパッケージやNode.jsのコア自体にまで及んでおり、これらを総合すると、axiosが単発の標的ではなかったことが確認される」と指摘。axiosのメンテナに対する攻撃は「信頼度が高く、影響力の大きいオープンソースのメンテナンス担当者を標的とした、組織的かつ拡張性のある攻撃パターン」の一部であったとの見解を示している。

 

なお、今回使われた、①時間をかけて信頼関係を築き、②ビデオミーティングを設定し、③ミーティング内で偽のエラーを表示して、④「修正プログラム/アプリ」や「アップデート」(実際はRAT)をインストールするよう促すという手法は、過去にHuntressやカスペルスキー、Mandiant(Google)が報告したUNC1069やBlueNoroff、GhostCallといったアクターの手法と大きく重複している。

関連記事

デイリーサイバーアラート

AI

ClickFix

Silobreaker-CyberAlert

北朝鮮ハッカーら、暗号資産狙った攻撃で新たなmacOSマルウェアを使用

佐々山 Tacos

佐々山 Tacos

2026.02.12

AI

ClickFix

Silobreaker-CyberAlert

関連資料をダウンロード

Codebook 2025 ~サイバーセキュリティ分析レポート~

Codebook 2025 ~サイバーセキュリティ分析レポート~

いつもCodebookをご覧いただきありがとうございます。 Codebookでは2023年より、平日ほぼ毎日、サイバーセキュリティ/インテリジェンス関連の英文ニュースを厳選し、日本語で簡潔に要約...

資料ダウンロード
デジタル時代における世界の紛争

デジタル時代における世界の紛争

地政学的紛争とサイバー作戦の境界は曖昧さを増し、国家や非国家主体によるサイバー攻撃が日常的に行われる中、戦争や外交の在り方が複雑化しています。 特にハクティビズムや偽情報キャンペーンは、ロシア・ウク...

資料ダウンロード
【最新版】要件主導型インテリジェンスプログラムの構築方法|Silobreaker Report

【最新版】要件主導型インテリジェンスプログラムの構築方法|Silobreaker Report

本レポートは、サイバー脅威や地政学的リスクが高度化・複雑化する現代において、組織が適切な意思決定を行うために不可欠な「脅威インテリジェンス」の実践方法を解説するハンドブックです。特に、インテリジェンス...

資料ダウンロード
OSINTから読み解く国家支援サイバー脅威の攻撃トレンド

OSINTから読み解く国家支援サイバー脅威の攻撃トレンド

国家の支援を受けたサイバー脅威が進化を続けています。昨年の国内暗号資産取引所からのビットコイン流出に、北朝鮮アクターの巧妙なソーシャルエンジニアリングが利用されていたことは、記憶に新しいかと思います。...

資料ダウンロード
ディープ&ダークウェブにおけるSNSアカウント売買とディープフェイク

ディープ&ダークウェブにおけるSNSアカウント売買とディープフェイク

ネット上の匿名性を悪用した不正や犯罪が、日本においても大きな脅威となっています。2024 年の能登半島地震の際には、実在しない住所への救助要請など、人命に影響を及ぼしかねない偽情報に海外からの「インプ...

資料ダウンロード

Special Feature特集記事

セミナー情報一覧へ ANALYST CHOICEの記事一覧へ

Cyber Intelligenceサイバーインテリジェンス

このカテゴリーの記事一覧へ

Security情報セキュリティ

このカテゴリーの記事一覧へ
このカテゴリーの記事一覧へ