Supply-Chain-Angriff auf Axios: Maliziöse npm-Pakete verbreiten Trojaner
Axios, einer der weltweit am häufigsten genutzten JavaScript-HTTP-Clients mit über 100 Millionen wöchentlichen Downloads, wurde Ziel eines schwerwiegenden Supply-Chain-Angriffs. Durch die Kompromittierung eines Maintainer-Accounts wurden manipulierte Paket-Versionen veröffentlicht, die einen plattformübergreifenden Fernzugriffstrojaner (RAT) auf infizierten Systemen installieren.
Der Vorfall
Am 30. März 2026 wurden die Axios-Versionen 1.14.1 (Latest) und 0.30.4 (Legacy) auf dem npm-Registry mit schädlichem Code veröffentlicht. Die Angreifer erlangten Zugriff auf das npm-Konto eines Hauptentwicklers und umgingen dabei bestehende Sicherheitsvorkehrungen, indem sie ein langlebiges Zugriffstoken für die direkte Veröffentlichung nutzten. Die manipulierten Versionen enthalten eine zusätzliche, versteckte Abhängigkeit namens plain-crypto-js@4.2.1. Diese führt unmittelbar nach der Installation über einen sogenannten „postinstall-hook“ ein bösartiges Skript (setup.js) aus.
Die Schadsoftware
Die Attacke zielt auf Windows, macOS und Linux ab. Der installierte Trojaner ermöglicht es den Angreifern, das System aus der Ferne zu steuern, sensible Daten zu exfiltrieren und weitere Schadsoftware nachzuladen.
- Windows: Die Malware kopiert sich als wt.exe in das Verzeichnis %PROGRAMDATA%, um sich als legitimes „Windows Terminal“ zu tarnen und Sicherheitssoftware (EDR) zu umgehen. Zudem wird eine Persistenz über die Registrierungsdatenbank eingerichtet.
- macOS: Hier nutzt die Malware Namen wie com.apple.act.mond, um wie ein offizieller Systemdienst zu wirken.
- Anti-Forensik: Nach der Infektion löscht die Schadsoftware ihre eigenen Installationsspuren und ersetzt die Paket-Metadaten durch eine unverdächtige Version, um bei manuellen Überprüfungen nicht aufzufallen.
Einschätzung und Hintergrund
Dieser Vorfall unterstreicht die enorme Verwundbarkeit moderner Software-Lieferketten. Da Axios oft als transitive Abhängigkeit (also automatisch über andere Pakete) geladen wird, verbreitete sich der Angriff innerhalb von Minuten weltweit in CI/CD-Pipelines und auf Entwickler-Workstations. Die ersten Infektionen wurden bereits 89 Sekunden nach der Veröffentlichung des bösartigen Pakets registriert. „First Huntress-observed infection – macOS endpoint executes RAT, 89 seconds after publish“.
Ein CYROS-Nutzer hat uns auf diesen Vorfall aufmerksam gemacht – vielen Dank!
- Prüfen Sie ihre Logfiles auf: axios@1.14.1, axios@0.30.4 und jeder Version von plain-crypto-js
- Prüfen Sie auf das schädliche Verzeichnis mit Abhängigkeiten.
- Endpunkte auf Artefakte prüfen
- Netzwerk/DNS logs auf Verbindungen zu sfrclak[.]com oder 142.11.206.73 auf port 8000.
- Prüfen der Sofortmaßnahmen in den Links