Axios Supply Chain Aanval door Noord-Korea | Cybersecurity

Wat is de Axios Toeleveringsketen Aanval?

In een grote cybersecurity-incident op 31 maart 2026 hebben Noord-Koreaanse hackers het populaire Axios npm-pakket gecompromitteerd, waardoor duizenden ontwikkelaars en organisaties wereldwijd zijn getroffen. De toeleveringsketenaanval betrof kwaadwillende actoren die toegang kregen tot een hoofdonderhouderaccount voor drie uur en trojanized versies (1.14.1 en 0.30.4) publiceerden met een verborgen afhankelijkheid 'plain-crypto-js' die een cross-platform remote access trojan (RAT) implementeerde. Met Axios als een van de meest gebruikte JavaScript-bibliotheken (100M+ wekelijkse downloads), vertegenwoordigt dit een significante toeleveringsketencompromis.

Hoe de Noord-Koreaanse Aanval Verliep

De aanval werd uitgevoerd door de Noord-Koreaanse dreigingsgroep UNC1069, die sinds 2018 actief is. Ze compromitteerden de npm-accountgegevens van een Axios-onderhouder en publiceerden twee kwaadaardige versies in een drie-uur venster voordat ze werden verwijderd om 03:29 UTC.

Het Technische Mechanisme

De gecompromitteerde pakketten bevatten een phantom-afhankelijkheid die een postinstall-script uitvoerde, waardoor de WAVESHAPER.V2-backdoor werd gedownload. Deze multi-platform RAT kon Windows, macOS en Linux infecteren en was ontworpen om inloggegevens zoals GitHub-tokens, cloud-API-sleutels, SSH-sleutels en npm-tokens te verzamelen, command-and-control verbindingen te leggen en willekeurige commando's uit te voeren. De malware gebruikte dubbele obfuscatie en zelfwissende technieken voor detectievermijding.

Waarom Noord-Korea Software Toeleveringsketenen Doelwit Stelt

Noord-Koreaanse hackers gebruiken cyberoperaties als primaire inkomstenbron voor het gesanctioneerde regime. Volgens het Witte Huis wordt ongeveer de helft van Noord-Korea's raketprogramma gefinancierd via digitale diefstal, met cryptoheists die miljarden per jaar genereren. Deze aanval volgt een patroon, vergelijkbaar met eerdere incidenten zoals de SolarWinds-toeleveringsketenaanval, en richt zich op veelgebruikte open-source pakketten voor maximale impact met minimale inspanning.

Impact en Schaal van de Inbreuk

Naar schatting vonden 600.000 installaties plaats tijdens het drie-uur venster, wat ongeveer 3% van de Axios-gebruikers trof. Het Nederlandse NCSC waarschuwde voor toegang tot authenticatiegegevens en verdere systeeminbreuken. De effecten strekken zich uit over sectoren zoals zorg, financiën, cryptocurrency en technologie, met potentiële risico's voor gegevenssystemen, applicaties en infrastructuur.

Hoe Je Je Tegen Toeleveringsketen Aanvallen Beschermt

1. Audit Afhankelijkheden: Controleer op Axios versies 1.14.1 of 0.30.4 en plain-crypto-js@4.2.1.
2. Roteer Inloggegevens: Veronderstel dat alle geheimen zijn gecompromitteerd en roteer ze onmiddellijk.
3. Implementeer Versie-pinning: Gebruik exacte versienummers in package.json.
4. Schakel Multi-Factor Authenticatie In: Vereis MFA voor onderhouderaccounts.
5. Monitor Netwerkverkeer: Zoek naar ongebruikelijke uitgaande verbindingen.

Overweeg ook softwaretoeleveringsketenbeveiligingsbest practices zoals SBOM-generatie en afkoelingsperiodes van 7-14 dagen.

Langetermijnimplicaties voor Open Source Beveiliging

Deze aanval benadrukt kwetsbaarheden in het open-source-ecosysteem, waar een gecompromitteerd onderhouderaccount miljoenen gebruikers kan beïnvloeden. Dit heeft discussies aangewakkerd over verbeterde accountbeveiliging met hardwareveiligheidssleutels, pakketsignering en verificatie, betere monitoring van pakketregisteractiviteiten, en meer financiering voor kritieke projecten.

Veelgestelde Vragen

Wat is Axios en waarom was het een doelwit?

Axios is een populaire promise-based HTTP-client voor JavaScript met brede adoptie, waardoor het een ideaal vector is voor toeleveringsketenaanvallen.

Hoe kan ik controleren of mijn systeem is aangetast?

Controleer package-lock.json of yarn.lock voor Axios versies 1.14.1 of 0.30.4 en plain-crypto-js@4.2.1, en review npm install-logs van 31 maart 2026, 00:00-03:29 UTC.

Wat moeten getroffen organisaties onmiddellijk doen?

Veronderstel volledige systeemcompromis, roteer alle inloggegevens, voer malware-scans uit en audit systemen die de gecompromitteerde pakketten hebben geïnstalleerd.

Lopen eindgebruikers van applicaties gebouwd met Axios risico?

Eindgebruikers worden niet direct beïnvloed tijdens runtime, maar ontwikkelaars en build-omgevingen lopen risico op inloggegevensdiefstal en systeemcompromis.

Hoe kunnen toekomstige toeleveringsketenaanvallen worden voorkomen?

Implementeer afhankelijkheidspinning, gebruik lockfiles met npm ci, schakel pakketsignering in, vereis MFA voor onderhouders, stel afkoelingsperiodes in, en gebruik beveiligingstools zoals Socket.dev of Snyk.

Bronnen

The Hacker News: Google schrijft Axios NPM Supply Chain Aanval toe
CNN: Noord-Koreaanse hackers voeren grote toeleveringsketenaanval uit
NCSC Waarschuwing: Wijdverspreide toeleveringsketencompromis
Snyk: Axios NPM-pakket gecompromitteerd in toeleveringsketenaanval
SecurityWeek: Axios NPM-pakket gebroken in Noord-Koreaanse aanval