Axios-Bibliothek: Supply-Chain-Angriff erschüttert Software-Welt

Ein hochgefährlicher Angriff auf die beliebte Axios-Bibliothek hat weltweit Millionen von Anwendungen infiziert. Die Entdeckung am 31. März 2026 offenbart die anhaltende Verwundbarkeit der globalen Software-Lieferkette und stellt Entwickler sowie Unternehmen vor massive Sicherheitsprobleme.

Die Axios-Bibliothek ist ein Grundbaustein für unzählige Webanwendungen, Mobile Apps und Unternehmenssysteme. Mit über 100 Millionen wöchentlichen Downloads im Node Package Manager (npm)-Ökosystem war sie das perfekte Ziel für einen raffinierten Supply-Chain-Angriff. Angreifer schafften es, bösartige Updates in die offizielle Bibliothek einzuschleusen und so einen Remote Access Trojaner (RAT) in Tausende nachgelagerte Projekte zu pflanzen.

Der aktuelle Angriff auf die Software-Lieferkette zeigt eindrucksvoll, wie wichtig ein proaktiver Schutz vor modernen Cyberbedrohungen für Firmen heute ist. In diesem kostenlosen E-Book erfahren Sie, wie Sie Sicherheitslücken schließen und gleichzeitig neue gesetzliche Anforderungen erfüllen. IT-Sicherheit stärken ohne teure Investitionen: So schützen clevere Unternehmer ihre Firma vor Cyberangriffen

So lief der Angriff der mutmaßlich nordkoreanischen Hacker ab

Die Attacke begann in der Nacht zum 30. März. Unbefugte Versionen der Axios-Pakete (1.14.1 und 0.30.4) tauchten im npm-Register auf. Die Google Threat Intelligence Group (GTIG) macht die mutmaßlich nordkoreanische Hackergruppe UNC1069 dafür verantwortlich. Die Gruppe zeigte hohe Professionalität, indem sie sowohl aktuelle als auch Legacy-Versionen der Bibliothek angriff, um die Reichweite zu maximieren.

Der Zugang gelang durch gekaperte Veröffentlichungs-Zugangsdaten eines Maintainers. Die Angreifer fügten eine versteckte Abhängigkeit namens "plain-crypto-js" ein. Dieses Paket diente als Tarnung: Es sah wie ein legitimes Kryptografie-Tool aus, enthielt aber ein Skript, das nach der Installation von Axios aktiv wurde. Dieses lud dann eine zweite Schadsoftware, die auf das Betriebssystem des Opfers zugeschnitten war.

Die Malware arbeitete plattformübergreifend: Auf Windows-Systemen etablierte sie über PowerShell ein Hintertürchen, auf Linux setzte sie eine Python-basierte Shell ein. So konnten sowohl Entwickler-Arbeitsplätze als auch große Cloud-Produktionsumgebungen betroffen sein.

Warum herkömmliche Scanner versagten – und was half

Entdeckt wurde der Angriff nicht durch automatische Schwachstellen-Scanner, sondern durch proaktives Verhaltens-Monitoring. Analysten von StepSecurity bemerkten verdächtigen Netzwerkverkehr und unbefugte Änderungen an den Zugangsdaten des Maintainers. Die Untersuchung zeigte: Die Angreifer hatten die Wiederherstellungs-E-Mail des Kontos kurz vor dem Hochladen der vergifteten Pakete auf eine anonyme ProtonMail-Adresse umgeleitet.

Die Raffinesse lag im anti-forensischen Design. Der Schadcode löschte sich nach erfolgreicher Ausführung selbst und hinterließ kaum Spuren. Zudem verschleierten die Hacker die Adressen ihrer Command-and-Control-Server durch umgekehrte Base64-Kodierung und XOR-Verschlüsselung, um statische Analyse-Tools auszutricksen.

Der Vorfall erinnert an den XZ Utils-Backdoor-Skandal von 2024. Damals führte die Beobachtung kleiner Performance-Einbußen durch einen einzelnen Entwickler zur Aufdeckung einer mehrjährigen Infiltration. Im Axios-Fall erwiesen sich strikte "Lockfiles" und CI/CD-Richtlinien, die automatische Installationsskripte unterdrücken, als wirksamster Schutz. Systeme, die Abhängigkeiten strikt festnageln und Drittanbieter-Skripte prüfen, blieben weitgehend verschont.

Angriffe auf die IT-Infrastruktur werden immer raffinierter und nutzen oft neue technologische Entwicklungen sowie Gesetzeslücken gezielt aus. Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und Bedrohungen Unternehmer jetzt unbedingt kennen müssen. Neue KI-Gesetze, neue Cyberrisiken: Was kommt wirklich auf Ihr Unternehmen zu?

Was der Angriff für deutsche Unternehmen und die NIS2-Richtlinie bedeutet

Für Unternehmen in der EU und Deutschland ist der Axios-Angriff eine deutliche Warnung. Er unterstreicht die regulatorischen Pflichten aus der NIS2-Richtlinie und den Leitlinien des Bundesamts für Sicherheit in der Informationstechnik (BSI). Supply-Chain-Angriffe sind laut BSI keine Ausreißer mehr, sondern ein Hauptvektor für Industriespionage und systemische Störungen.

Unter aktuellen Datenschutz- und Compliance-Rahmen haften Unternehmen zunehmend für die Sicherheit ihrer "Lieferanten von Lieferanten". Das erfordert einen rigorosen Ansatz im Third-Party Risk Management (TPRM). Herkömmliche Maßnahmen wie "Code Signing" oder "CVE-Scans" reichen nicht aus, wenn "sauberer" Code von einem kompromittierten, aber vertrauenswürdigen Konto veröffentlicht wird.

Compliance-Beauftragte werden daher gedrängt, Software Bill of Materials (SBOM)-Audits in ihre Standardprozesse zu integrieren. Nur so erhalten sie vollständige Transparenz über die tiefen Abhängigkeiten ihrer Software-Stacks. Für deutsche Unternehmen, besonders in kritischen Infrastrukturen, ist die Analyse solcher Angriffe nun ein verpflichtender Teil ihrer Risikobewertung und Notfallplanung.

Wie geht es weiter? Forderungen nach härteren Sicherheitsregeln

Die Sofortmaßnahmen nach der Entdeckung umfassten die schnelle Entfernung der bösartigen Versionen aus dem npm-Register und den Entzug der Zugriffsrechte des kompromittierten Maintainers. Die langfristige Bereinigung der Millionen betroffenen Systeme wird jedoch Wochen dauern. Entwickler, die die infizierten Versionen bezogen haben, sollten alle Umgebungs-Geheimnisse wie API-Keys und Datenbank-Zugangsdaten austauschen, da der RAT speziell auf deren Diebstahl ausgelegt war.

Die Cybersicherheits-Community fordert nun einen grundlegenden Wandel im Management von Open-Source-Repositories. Vorschläge sind:
* Obligatorische Hardware-Sicherheitsschlüssel für alle Maintainer von "Top-Tier"-Paketen.
* Multi-Signature-Publishing, bei dem mindestens zwei unabhängige Maintainer jede Paketveröffentlichung genehmigen müssen.
* Eine stärkere Push für "reproduzierbare Builds", die es Nutzern erlauben, zu prüfen, ob die verteilte Binärdatei exakt mit dem öffentlich einsehbaren Quellcode übereinstimmt.

Für die zweite Hälfte des Jahres 2026 rückt KI-gestützte Verhaltensanalyse von Repository-Aktivitäten in den Fokus. Durch die Überwachung plötzlicher Änderungen in Beitragsmustern, E-Mail-Domains oder der Einführung verschleierter Skripte hoffen Sicherheitsplattformen, die nächste Bedrohung für die Lieferkette zu identifizieren, bevor sie das "Stable"-Release erreicht. Der Axios-Angriff bleibt vorerst ein Lehrstück über die Verwundbarkeit moderner, vernetzter Systeme.

boerse | 69051172 |