Post Mortem: axios npm supply chain compromise · Issue #10636 · axios/axios

axios npm供給網攻撃のポストモーテム。悪性版1.14.1/0.30.4で[email protected]がRAT感染、約3時間で削除

npmのサプライチェーン攻撃、またメンテナの狙い撃ちか。個人垢からの直パブリッシュは流石に限界あるな。OIDC導入はよ

こーわ、まじかよ。

ひょえ〜

どうやったら防げたんだ問題。

個人を狙った攻撃はAIの力もあって簡単なんだろうな。 問題は個人への攻撃で大きなリスクを引き起こせてしまうことなのかもだけど、「AIの力で一人でもいろいろやろう」という昨今の流れで加速する課題な気がするな

被害には合わなかったがaxiosは既になくても困らないので、早速AI使って全部fetchで置き換えてしまったけど、npmどころかパッケージツール全てこの手の攻撃対象になりうるし、脱出できない時はどうすりゃええんやろな。

こういう背景があるにせよ個人的にはじゃあ仕方ないよねとはあんまり思えないなあ。 "Currently there are also many job offers, where they ask you to install specific software as part of the job interview."

人間が一番の脆弱性、それも仕事を受注するときが一番弱くなる

axios の件、実在の会社の創業者を巧妙に装って接触し Teams で会議をすることにしてなんかのツールが古いと指摘して遠隔操作ウイルスを仕込んで乗っ取ったとな。計画的すぎる……