JavaScriptの代表的HTTPクライアントであるAxiosで、npm配布パッケージ自体が改ざんされるサプライチェーン攻撃が確認されました。StepSecurityによると、悪意あるバージョンは axios@1.14.1 と axios@0.30.4 で、攻撃者はAxiosの主要メンテナーのnpm資格情報を奪い、通常のGitHub Actionsによる公開フローを迂回してnpm CLIから直接公開したとされています。Techzineは、Axiosが週3億回超ダウンロードされる広範な利用基盤を持つため、影響範囲は非常に大きいと報じています。