Axios, mit über 100 Millionen wöchentlichen Downloads eines der meistgenutzten npm-Pakete, wurde Ziel eines Supply-Chain-Angriffs. Am 31. März 2026 veröffentlichten Angreifer über ein kompromittiertes Maintainer-Konto zwei manipulierte Versionen: axios@1.14.1 und axios@0.30.4. Die Releases waren nur wenige Stunden verfügbar – zwischen 01:21 und 04:29 Uhr MEZ –, wurden in diesem Zeitraum aber regulär über npm ausgeliefert.
Laut Snyk hatten die Angreifer bereits rund 18 Stunden zuvor eine unauffällige Version des Pakets veröffentlicht, offenbar um über eine kurze Historie mehr Glaubwürdigkeit zu erzeugen. Statt den Quellcode von Axios selbst zu verändern, ergänzten sie die package.json um die zusätzliche Abhängigkeit plain-crypto-js@4.2.1. Diese führte über einen Hook eine verschleierte setup.js aus. Der obfuskierte Dropper arbeitete mit mehrstufiger Verschleierung und kontaktierte den Command-and-Control-Server sfrclak[.]com:8000, um einen plattformspezifischen Remote Access Trojan (RAT) für Windows, macOS und Linux nachzuladen. Anschließend löschte sich der Dropper selbst und entfernte Spuren des postinstall-Mechanismus, um die Analyse zu erschweren.
Da Axios in zahllosen Projekten eingebunden ist, kann selbst ein nur wenige Stunden verfügbares Release viele Systeme erreichen. Wer in dem betroffenen Zeitfenster Installationen durchgeführt hat, sollte die betroffenen Systeme als potenziell kompromittiert betrachten. Google ordnet die Kampagne der nordkoreanischen Gruppe UNC1069 zu.
Was jetzt zu tun ist:
- Lockfiles auf axios@1.14.1, axios@0.30.4 und plain-crypto-js prüfen
- Betroffene Systeme als kompromittiert betrachten
- Exponierte Secrets rotieren, besonders Git-, npm-, Cloud-, SSH- und CI/CD-Zugangsdaten
Autor: Michael Niers
