flattsecurity https://blog.hatena.ne.jp/flattsecurity/ GMO Flatt Security Blog https://blog.flatt.tech/ 2026年3月31日、HTTP クライアントライブラリ axios の npm パッケージが侵害されました。攻撃者はメンテナの npm アカウントを乗っ取り、マルウェアを含むバージョン 1.14.1 および 0.30.4 を公開しました。axios は npm エコシステムで週間約1億ダウンロードを誇る主要パッケージです。本記事では公開情報をもとに、事象の概要を記録します。また、対応指針を示します。 TL;DR - 対応指針 axios への直接依存に限らず、間接依存（transitive dependency）でも postinstall フックは発火します。 自身のプロジェクトが axio… 190 <iframe src="https://hatenablog-parts.com/embed?url=https%3A%2F%2Fblog.flatt.tech%2Fentry%2Faxios_compromise" title="axios ソフトウェアサプライチェーン攻撃の概要と対応指針 - GMO Flatt Security Blog" class="embed-card embed-blogcard" scrolling="no" frameborder="0" style="display: block; width: 100%; height: 190px; max-width: 500px; margin: 10px 0px;"></iframe> https://cdn-ak.f.st-hatena.com/images/fotolife/f/flattsecurity/20260331/20260331163627.png Hatena Blog https://hatena.blog 2026-03-31 16:37:47 rich https://blog.flatt.tech/entry/axios_compromise 1.0 100%