はじめに こんにちは、しもちです。本日（2026年3月31日）、npmパッケージのaxiosにサプライチェーン攻撃が発生しました。axiosは週間1億ダウンロードを超えるHTTPクライアントライブラリなので、かなり大きな影響が出ています。 今回は攻撃の概要と、担当プロジェクトでの影響、そしてサプライチェーン攻撃への備えについて書きます。 何が起きたのか 攻撃者はaxiosのメンテナー（jasonsaayman）のnpmアクセストークンを窃取し、通常のCI/CDパイプラインをバイパスして悪意のあるバージョンを直接npmに公開しました。 公開された悪意のあるバージョンは以下の2つです...

💾