axios乗っ取り事件の全容 — 39分間で何が起きたか、そして今すぐやるべき防御策 - Qiita
はじめに 2026年3月31日、npmパッケージ「axios」が乗っ取られました。 axiosはJavaScriptで最も使われるHTTPクライアントです。 週間ダウンロード数は1億回を超えます。 私自身、ほぼすべてのNode.jsプロジェ...
toaruR『「もし週末にデプロイしていたら」と思うとぞっとしました』……それな(´・ω・`)
2026/04/06 08:16★
bata64この件で「うちは大丈夫か」と組み込みOSの製品サポートに聞いてくる顧客は、本事象がどういうものか理解してからお問い合わせしてください!
2026/04/06 08:27★★★
timetrainローカル実行にしてもこういう脆弱性はあると。怖いなあ
2026/04/06 09:14
uunfoまたか
2026/04/06 09:52
mohno「悪意あるバージョンは約2〜3時間公開されていました」←それで気づいたのも「週間ダウンロード数は1億回」だからか。メンテナーの負担が重くなりそうな予感。「1週間で2つのメジャーパッケージが侵害されました」
2026/04/06 09:55
hatest古いesbuildでなければ、ignore-scripts=trueでも大丈夫だよ
2026/04/06 10:23
aox電話とFaxを駆使して100%安全な仕組みにしましょう
2026/04/06 10:27
raitu“メンテナーアカウントの侵害は防ぎようがない。依存先を信頼するだけでは不十分”
2026/04/06 10:38
NOV1975しかし、npm installを本番レベルで使ってるシステムたくさんあるんだな
2026/04/06 11:20
tk_musikやっぱライブラリは全部ローカル保存してパッチバージョンまで指定、開発者はインターネット接続を遮断してやっていかないとな!はぁ
2026/04/06 11:21
Cruこれ仕込んだ北朝鮮の要員はたとえ下っ端でも西側に亡命して「私がやりました」言えば物凄い高給でセキュリティ部門に雇ってもらえそう
2026/04/06 12:09★
queeuq記事にもあるけどCI回すときはlock.json使ってるはずで少なくともデプロイでバージョン変わるプロジェクトはそもそも論外なので今すぐ見直しましょう。
2026/04/06 12:43