ゲートニュース、3月31日、Socket AIはセキュリティ警告を発表しました。npmエコシステムの中核依存パッケージであるaxiosが、アクティブなサプライチェーン攻撃を受けました。同社の最新バージョンaxios@1.14.1には、これまで存在したことのない悪意のあるパッケージ plain-crypto-js@4.2.1 が注入されていました。Socket AIの分析により、このパッケージがマルウェアであることが確認されています。axiosの週次ダウンロード数は1億回を超え、最新バージョンを取得するすべてのプロジェクトが潜在的な侵入リスクに直面しています。Socket AIの創業者Ferossは、すべてのaxiosユーザーに対し、直ちにバージョンを固定し、ロックファイルを確認するよう推奨しており、決して最新バージョンへアップグレードしないよう求めています。
