![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
Der n\u00e4chste Lieferkettenangriff auf ein npm-Paket ist gerade publik geworden. Angreifern ist es gelungen, einen Entwickler-Account f\u00fcr das axios npm-Paket zu kompromittieren und Malware einzuschleusen. Die kompromittierten axios npm-Pakete verbreiteten kurzzeitig einen Remote Access Trojaner (RAT), der Systeme mit Linux, macOS und Windows gef\u00e4hrdet.<\/p>\n
<\/p>\n
Axios ist eine der beliebtesten JavaScript-Bibliotheken f\u00fcr HTTP-Anfragen (GET, POST, PUT, DELETE usw.). Der promise-basierter HTTP-Client l\u00e4sst sich f\u00fcr Browser und Node.js verwenden und macht das Senden und Empfangen von HTTP-Anfragen viel einfacher und angenehmer als die native fetch-API oder XMLHttpRequest.<\/p>\n
Das axios npm-Paket wird vor allem in React, Vue, Angular, Next.js und vielen Node.js-Backends verwendet, um mit APIs zu kommunizieren. Laut diversen Webseiten soll das Paket w\u00f6chentlich 300 Millionen Mal heruntergeladen werden, ist also recht popul\u00e4re und weit verbreitet.<\/p>\n
Vor einigen Stunden wurden bekannt, dass das Axios npm kompromittiert ist. Nachfolgender Tweet weist darauf hin, dass die axios-Versionen axios@0.30.4 und axios@1.141 kompromittiert sind und Malware verbreiten.<\/p>\n
![\"Axios](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/03\/image-94.png\")
<\/p>\n
Das CERT-AT warnt in diesem Artikel<\/a>, dass \u00fcber den gekaperten npm-Account eines axios Hauptentwicklers die zwei oben genannten kompromittierte Paketversionen verbreitet werden.\u00a0Beide Paketversionen enthalten eine zus\u00e4tzliche Abh\u00e4ngigkeit (plain-crypto-js@4.2.1<\/em>), die beim Installieren automatisch einen Remote Access Trojaner (RAT) f\u00fcr macOS, Windows und Linux nachl\u00e4dt.<\/p>\n Beim Installieren der kompromittierten axios-Versionen wird \u00fcber ein postinstall-Skript automatisch und ohne Benutzerinteraktion Kontakt zu einem Command-and-Control-Server (sfrclak.com:8000<\/em>) hergestellt und ein plattformspezifischer RAT heruntergeladen und ausgef\u00fchrt. Die Schadsoftware l\u00f6scht sich nach der Ausf\u00fchrung weitgehend selbst und ersetzt ihre eigene Konfiguration durch eine unauff\u00e4llige Version, um forensische Analyse zu erschweren.<\/p>\n Die schadhaften Versionen des Paketes wurden mittlerweile zwar von npm entfernt. Aber Systeme, auf denen eine der betroffenen Versionen installiert wurde, m\u00fcssen als vollst\u00e4ndig kompromittiert betrachtet werden.<\/p>\n Dar\u00fcber hinaus hat die Kompromittierung laut CERT-AT bereits zu Folgesch\u00e4den gef\u00fchrt: Laut Analyse von Socket wurden weitere npm-Pakete identifiziert, die die Schadsoftware transitiv weiterverbreiten.<\/p>\n Diese Pakete wurden vermutlich w\u00e4hrend des Zeitfensters erstellt, in dem axios@1.14.1<\/em> die aktuelle Version war, und haben die schadhafte Abh\u00e4ngigkeit transitiv \u00fcbernommen. Dar\u00fcber hinaus hat sich die Kompromittierung \u00fcber JSII-Module auch auf andere \u00d6kosysteme ausgebreitet, warnt CERT-AT. Version 0.0.194 des Pakets jjrawlins-cdk-iam-policy-builder-helper<\/em> ist sowohl auf PyPI als auch auf NuGet betroffen, da es von der kompromittierten axios-Version abh\u00e4ngt.<\/p>\n Auf CERT-AT finden sich weitere Angaben<\/a>, welche Systeme als betroffen angesehen werden m\u00fcssen und welche Ma\u00dfnahmen Nutzer betroffener Systeme durchf\u00fchren m\u00fcssen, um die m\u00f6glichen Sch\u00e4den zu begrenzen.<\/p>\n Erg\u00e4nzung<\/strong>: Die Google Threat Intelligence Group (GTIG) schreibt den j\u00fcngsten Supply-Chain-Angriff auf das axios-NPM-Paket mutma\u00dfliche dem nordkoreanischen Bedrohungsakteur UNC1069 (und nicht TeamPCP) zu. Siehe meine Ausf\u00fchrungen im Blog-Beitrag\u00a0Absturz oder Kernschmelze: Cisco Source Code gestohlen; Anthropic Claude Code geleakt; ChatGPT-Schwachstelle etc.<\/a><\/p>\n \u00c4hnliche Artikel:<\/strong> Der n\u00e4chste Lieferkettenangriff auf ein npm-Paket ist gerade publik geworden. Angreifern ist es gelungen, einen Entwickler-Account f\u00fcr das axios npm-Paket zu kompromittieren und Malware einzuschleusen. Die kompromittierten axios npm-Pakete verbreiteten kurzzeitig einen Remote Access Trojaner (RAT), der Systeme mit Linux, … Weiterlesen \n
\nShai-Hulud 2.0 NPM-Malware-Angriff erbeutet ~400 K Entwickler-Geheimnisse<\/a>
\nDer npm-Angriff geht weiter \u2013 \"Wurm\" infiziert Pakete<\/a>
\nnpm-Hack: Konto gehackt; 18 npm-Pakete mit Millionen Downloads kompromittiert<\/a>
\nPython-Paket mit 96 Millionen Downloads \u00fcber simplen Befehl infiziert; 500.000 Anmeldedaten abgezogen?<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"