隅々まで調べてとりあえず影響が無いことを確認した。マジで危なかった(汗
(ブルームバーグ):ソフトウエア開発で広く使われるツール「Axios(アクシオス)」にハッカーが侵入し、インターネットの基盤的機能の重要部分に脆弱(ぜいじゃく)性が持ち込まれた。グーグルはこの侵害を北朝鮮の関与が疑われるハッカー集団に関連付けている。被害の範囲や侵害の目的は不明。
AxiosはJavaScriptでHTTPアクセスするためのクライアントライブラリだ。Node.jsのエコシステムであるnpmパッケージマネージャで簡単にインストール出来るため、JavaScriptの開発者がそうするのも日常茶飯事。ウチではタイミング的にたまたま誰も関わってなかったから良かったものの、仕事であれ趣味や学習であれ npm installってコマンド打っただけで即アウトというヤバさ。しかもMacもLinuxもターゲットなんだからな。
Step 2 — 感染していた場合
- そのマシン/コンテナを侵害済みとして扱い、隔離する
npm installやnpm run、bun install、vp install等を絶対に実行しない(マルウェアが再実行される)- すべてのシークレット、APIキー、認証情報をローテーションする
- ネットワークログで C2 通信の痕跡を確認する
node_modulesと lockfile(package-lock.json/yarn.lock/pnpm-lock.yaml/bun.lock)を削除し、Step 3 でクリーンインストール
見つかったら既にC2筒抜けという前提だ。さっさと対応しないと地獄を見るぞ。
しかし・・・我々の開発環境とかなら、既存lockfileでフリーズとかクールダウン設定とかで防げるかもしれないが、最近流行ってるヤツで「素人がAIエージェント使ってバイブコーディングする」とかいうパターンだと、裏でAIが勝手にnpm installしちゃう訳だろ? もう無理じゃんw どうすんだよ。
↑こんな感じのやつ。
これいったいどこで制限したらいいんだろうな。npmデフォルトか、それともAIエージェント側か。
今回改めて感じたが、テクノロジーのブラックボックス化が利便性と同時に狂気と凶器を招く温床となる件。
まったくヤベー世界だわ。