• #npm
  • #axios
  • #supply-chain-attack
  • #security
  • #dependency-audit
開発misc-devメモ

Claude Codeが「axiosに悪意あるパッケージが混入している」と警告を出した瞬間、最初に頭をよぎったのは「またプロンプトインジェクションか」だった。

発端: 警告は本物か偽物か

会計ソフトA連携のChrome拡張プロジェクトをClaude Codeで作業していたとき、axiosのサプライチェーン攻撃に関する警告が表示された。npm axios v1.14.1が [email protected] という、それまで存在しなかったパッケージを依存に取り込んでいる、という内容だった。

第一印象は「プロンプトインジェクション」。npmパッケージのREADMEやメタデータに悪意あるプロンプトを仕込んでAIを誘導する攻撃は知っていたし、過去にも偽の警告を見たことがある。LLMが外部テキストを読み込んだ結果、存在しない脅威をでっちあげるパターンだ。

しかし念のためニュースを調べた。すると、複数のセキュリティ系メディアが同じ事件を報じていた。plain-crypto-jscrypto-js を装った悪意あるパッケージで、axios v1.14.1の依存ツリーに紛れ込んでいた。手が止まった。本物だった。

影響範囲の調査

Chrome拡張プロジェクト: 安全

まず目の前のプロジェクトを確認した。会計ソフトA連携のChrome拡張はaxiosを使っていない。HTTP通信はブラウザ標準のfetch APIで完結していた。依存にaxiosが含まれていないことを package-lock.json で裏取りし、この時点でプロジェクト単体の安全は確認できた。

PC全体スキャン: plain-crypto-jsの捜索

ただし、ローカルの他プロジェクトが汚染されている可能性は残る。C:\Users\numbe\Git_repo 配下の全プロジェクトを対象に、plain-crypto-js をgrepで横断検索した。

# 全プロジェクトの node_modules と lock ファイルを横断検索
grep -r "plain-crypto-js" /c/Users/numbe/Git_repo/

結果: ヒットゼロ。plain-crypto-js はどのプロジェクトにもインストールされていなかった。

axiosの所在を特定

次に、axiosそのものがどこに入っているかを洗い出した。

find /c/Users/numbe/Git_repo/ -path "*/node_modules/axios/package.json" -type f

6プロジェクトにaxiosがインストールされていた。各プロジェクトの最終コミット日とフォルダ更新日を突き合わせた結果、6件とも以下の条件に該当した。

  • 最終コミットが2025年以前
  • サンプル・テスト・他人のリポジトリのクローン
  • 自分のGitHubリポジトリにpushしていない

要するに、学習目的で手元に置いていた古いプロジェクトだけだった。

対処: 不要プロジェクトの削除

6件はいずれも実運用していない。手元に残す理由がないと判断し、フォルダごと削除した。

削除判断の基準はシンプルだった。

  1. 自分のGitHubにあるか -- ない。ローカルオンリー
  2. 最近触ったか -- 2025年以前に放置
  3. 参照する可能性があるか -- サンプルやチュートリアルの写経。必要になればまたcloneすればいい

npm側の事後確認

npm registryでの対応状況も確認した。

  • axios v1.14.1: npm側で削除済み。npm view axios versions で1.14.1が表示されないことを確認
  • [email protected]: npmから削除済み。npm view plain-crypto-js がnot foundを返す

攻撃に使われたバージョンはレジストリから除去されており、新規インストールで踏む危険はなくなっていた。

振り返り

プロンプトインジェクションとの区別

今回の教訓は「LLMの警告を疑いつつも、裏を取る」というプロセスを実際に踏めたこと。

  1. LLMが警告を出す
  2. 「プロンプトインジェクションでは?」と疑う
  3. 外部ソース(ニュースサイト、npm registry)で裏取り
  4. 本物と確認してから対処に移る

この順序を飛ばして「はいはいプロンプトインジェクションね」と流していたら、汚染されたパッケージを見過ごす可能性があった。逆に、裏取りせずにLLMの警告を鵜呑みにしていたら、存在しない脅威に時間を浪費する。どちらに倒れても損をする。

依存パッケージの衛生管理

ローカルに放置されたプロジェクトは、サプライチェーン攻撃の潜在的な経路になる。node_modules の中身は定期的にインストールした時点の状態で凍結されるが、その「凍結された状態」自体が汚染されていたら意味がない。

今回は実害がなかったが、使っていないプロジェクトを定期的に棚卸しする習慣は持っておくべきだと思った。

対処のタイムライン

時刻内容
警告検出Claude Codeがaxiosサプライチェーン攻撃を報告
+5分プロンプトインジェクションを疑い、ニュース検索で裏取り
+10分本物と確認、Chrome拡張プロジェクトにaxiosがないことを確認
+20分PC全体で plain-crypto-js を検索、ヒットなし
+30分axios入りの6プロジェクトを特定、全件の状態を調査
+45分6プロジェクトを削除、npm registryの対応状況を確認

全工程で約45分。プロンプトインジェクションとの判別に一番時間を使った。