Deutsch
English
Español
Français
Nederlands
Português
Was ist der Axios Supply-Chain-Angriff?
Am 31. März 2026 kompromittierten nordkoreanische Hacker das beliebte Axios-npm-Paket, was Tausende von Entwicklern weltweit betraf. Der Supply-Chain-Angriff führte zu bösartigen Versionen (1.14.1 und 0.30.4) mit einer versteckten Abhängigkeit namens 'plain-crypto-js', die einen Remote-Access-Trojaner (RAT) einschleuste. Mit über 100 Millionen wöchentlichen Downloads ist Axios eine der am weitesten verbreiteten JavaScript-Bibliotheken.
Wie sich der nordkoreanische Angriff abspielte
Die nordkoreanische Bedrohungsgruppe UNC1069 führte den Angriff mit chirurgischer Präzision durch. Sie kompromittierten die npm-Konten eines Axios-Maintainers und veröffentlichten innerhalb von drei Stunden zwei schädliche Versionen, bevor die Pakete um 03:29 UTC entfernt wurden.
Der technische Mechanismus
Die kompromittierten Pakete enthielten eine Phantom-Abhängigkeit, die während der Installation ein Postinstall-Skript ausführte. Dieses Skript lud den WAVESHAPER.V2-Backdoor herunter, einen vielseitigen RAT für Windows, macOS und Linux. Die Malware sammelte Anmeldedaten wie GitHub-Tokens, Cloud-API-Schlüssel (AWS, GCP, Azure), exfiltrierte SSH- und npm-Tokens, stellte persistente C2-Verbindungen her und führte beliebige Befehle aus. Sicherheitsexperten stellten staatlich unterstützte Fähigkeiten mit Verschleierungstechniken fest.
Warum Nordkorea Software-Supply-Chains ins Visier nimmt
Nordkoreanische Hacker nutzen Cyberoperationen als Haupteinnahmequelle für das sanktionierte Regime. Etwa die Hälfte des Raketenprogramms wird durch digitalen Diebstahl finanziert, mit Kryptowährungsdiebstählen in Milliardenhöhe. Dieser Angriff ähnelt früheren Vorfällen wie dem SolarWinds-Supply-Chain-Angriff.
Auswirkungen und Umfang des Angriffs
Während des dreistündigen Angriffsfensters gab es etwa 600.000 Installationen, was etwa 3% der Axios-Nutzer betraf. Das niederländische Nationale Cyber-Sicherheitszentrum (NCSC) warnte: 'Wenn Ihre Organisation Software mit kompromittierten npm-Paketen entwickelt, haben bösartige Akteure Zugang zu Authentifizierungsdaten erlangt.' Die Auswirkungen erstrecken sich auf Bereiche wie Gesundheitswesen, Finanzen, Kryptowährung und Technologie.
| Bereich | Potenzielle Auswirkungen |
|---|---|
| Gesundheitswesen | Patientendatensysteme, medizinische Geräte |
| Finanzen | Bankanwendungen, Handelsplattformen |
| Kryptowährung | Börsenplattformen, Wallet-Dienste |
| Technologie | Cloud-Infrastruktur, CI/CD-Pipelines |
Wie man sich vor Supply-Chain-Angriffen schützen kann
- Abhängigkeiten überprüfen: Prüfen Sie auf Axios-Versionen 1.14.1 oder 0.30.4 und die plain-crypto-js@4.2.1-Abhängigkeit
- Anmeldedaten rotieren: Gehen Sie von Kompromittierung aus und rotieren Sie sofort
- Versionspinning implementieren: Verwenden Sie genaue Versionsnummern in package.json
- Mehrfaktor-Authentifizierung aktivieren: Erfordern Sie MFA für Maintainer-Konten
- Netzwerkverkehr überwachen: Achten Sie auf ungewöhnliche Verbindungen
Organisationen sollten auch Software-Supply-Chain-Sicherheitspraktiken wie SBOM-Generierung einführen.
Langfristige Auswirkungen auf die Open-Source-Sicherheit
Dieser Angriff unterstreicht Schwachstellen im Open-Source-Ökosystem, wo ein kompromittiertes Maintainer-Konto Millionen beeinflussen kann. Es werden Diskussionen über verbesserte Kontosicherheit, Paketsignierung und bessere Überwachung geführt.
Häufig gestellte Fragen
Was ist Axios und warum wurde es ins Visier genommen?
Axios ist ein beliebter HTTP-Client für JavaScript mit über 100 Millionen wöchentlichen Downloads, ideal für Supply-Chain-Angriffe.
Wie kann ich überprüfen, ob mein System betroffen war?
Überprüfen Sie package-lock.json oder yarn.lock auf Axios-Versionen 1.14.1 oder 0.30.4 und die plain-crypto-js@4.2.1-Abhängigkeit, sowie npm-Installationsprotokolle vom 31. März 2026, 00:00-03:29 UTC.
Was sollten betroffene Organisationen sofort tun?
Gehen Sie von vollständiger Kompromittierung aus, rotieren Sie alle Anmeldedaten, führen Sie Malware-Scans durch und überprüfen Sie betroffene Systeme.
Sind Endnutzer von Anwendungen, die mit Axios gebaut wurden, gefährdet?
Endnutzer sind während der Laufzeit nicht direkt betroffen, aber Entwickler und Build-Umgebungen mit installierten bösartigen Paketen sind gefährdet.
Wie können zukünftige Supply-Chain-Angriffe verhindert werden?
Implementieren Sie Abhängigkeitspinning, verwenden Sie Lockfiles mit npm ci, aktivieren Sie Paketsignierung, erfordern Sie MFA für Maintainer und nutzen Sie Sicherheitstools wie Socket.dev oder Snyk.
Quellen
The Hacker News: Google weist Axios NPM Supply-Chain-Angriff zu
CNN: Nordkoreanische Hacker führen großen Supply-Chain-Angriff aus
NCSC-Warnung: Weit verbreitete Supply-Chain-Kompromittierung
Snyk: Axios NPM-Paket in Supply-Chain-Angriff kompromittiert
SecurityWeek: Axios NPM-Paket in nordkoreanischem Angriff gebrochen
Follow Discussion