Axios-Paket kompromittiert: Schadsoftware bedroht Millionen Entwickler

Ein gehacktes Konto eines Maintainers führte zur Verbreitung einer Schadsoftware über die populäre JavaScript-Bibliothek Axios – ein Alarmsignal für die gesamte Open-Source-Welt.

Die Sicherheit der globalen Software-Lieferkette steht erneut im Fokus. Am vergangenen Wochenende wurden bösartige Versionen der extrem verbreiteten Axios-Bibliothek im npm-Registry entdeckt und entfernt. Der Angreifer nutzte ein kompromittiertes Konto eines führenden Maintainers, um eine raffinierte Schadsoftware in Entwicklungsumgebungen einzuschleusen. Die Bedrohung betrifft potenziell unzählige Anwendungen und Systeme weltweit.

Angriffe auf die Software-Lieferkette zeigen, wie verwundbar die IT-Infrastruktur moderner Unternehmen heute ist. Erfahren Sie in diesem kostenlosen Leitfaden, wie Sie Ihr Unternehmen mit proaktiven Maßnahmen effektiv vor aktuellen Cyber-Sicherheitsrisiken schützen. IT-Sicherheit stärken und Schutzmaßnahmen entdecken

Angriff über gekaperten Maintainer-Account

Im Zentrum des Vorfalls steht Axios, eine der meistgenutzten JavaScript-Bibliotheken für HTTP-Anfragen mit über 100 Millionen wöchentlichen Downloads. In der Nacht zum 31. März 2026 veröffentlichte ein Angreifer über das gekaperte Konto „jasonsaayman“ zwei manipulierte Versionen: axios@1.14.1 und axios@0.30.4. Der Angreifer hatte zuvor die registrierte E-Mail-Adresse des Kontos auf eine ProtonMail-Adresse unter seiner Kontrolle geändert.

Der geniale und gefährliche Kniff: Der schädliche Code lag nicht direkt in der Axios-Quelle. Stattdessen schleuste die kompromittierte Version eine versteckte, bösartige Abhängigkeit namens plain-crypto-js@4.2.1 ein. Diese wurde speziell dafür entwickelt, während des Installationsprozesses ausgeführt zu werden. Dass die Versionen manuell und außerhalb der üblichen GitHub-Actions-Pipeline veröffentlicht wurden, war ein entscheidender Hinweis auf die Kompromittierung.

Plattformübergreifender Trojaner mit Selbstzerstörungs-Mechanismus

Das Schadpaket plain-crypto-js@4.2.1 enthielt ein Skript, das einen plattformübergreifenden Remote-Access-Trojaner (RAT) auf macOS-, Windows- und Linux-Systemen installierte. Nach der Ausführung kontaktierte die Malware einen Command-and-Control-Server, um weitere Schadsoftware nachzuladen.

Um Spuren zu verwischen, war die Malware mit einem raffinierten Selbstzerstörungsmechanismus ausgestattet. Sie löschte sich nach der Ausführung selbst und ersetzte ihre eigene package.json-Datei durch eine saubere Version. Die bösartigen Pakete waren nur etwa zwei bis drei Stunden im npm-Registry verfügbar, bevor npm sie entfernte und eine Sicherheitssperre für plain-crypto-js verhängte.

Massive Reichweite: Dringende Überprüfung erforderlich

Aufgrund der extremen Verbreitung von Axios besteht ein erhebliches Risiko für eine große Zahl von Entwicklern und Unternehmen. Jedes Projekt, das zwischen etwa 00:21 UTC und 03:30 UTC am 31. März die Versionen axios@1.14.1 oder axios@0.30.4 installiert hat, könnte betroffen sein.

Sicherheitsforscher raten zu sofortigen Maßnahmen:
* Überprüfen Sie package-lock.json- oder yarn.lock-Dateien auf die genannten Versionen oder die Abhängigkeit plain-crypto-js@4.2.1.
* Wird ein Befall festgestellt, muss die betroffene Maschine als vollständig kompromittiert behandelt werden.
* Neben der Deinstallation sind eine gründliche Systemprüfung und das Zurücksetzen aller Zugangsdaten, API-Keys und sensibler Informationen zwingend notwendig.

Während die Community auf akute Vorfälle reagiert, müssen Verantwortliche ihre langfristige Strategie an neue Bedrohungen und KI-Gesetze anpassen. Dieser Experten-Report enthüllt effektive Strategien zur Cyber-Security, die ohne Budget-Explosion umsetzbar sind. Kostenlosen Experten-Report herunterladen

Lieferkettensicherheit: Eine permanente Schwachstelle

Der Vorfall unterstreicht die systemischen Schwächen in der Sicherheit von Open-Source-Lieferketten. Die Fähigkeit des Angreifers, ein Maintainer-Konto zu übernehmen und etablierte CI/CD-Pipelines zu umgehen, zeigt, dass die Gefahr weit über den eigentlichen Code hinausgeht. Die Tat wirkt hochprofessionell: Bereits 18 Stunden vor dem Hauptangriff legte der Angreifer mit plain-crypto-js@4.2.0 ein Köderpaket. Einige Experten sehen Ähnlichkeiten zu Angriffsmustern nordkoreanischer Bedrohungsakteure.

Als Konsequenz fordern Cybersicherheitsexperten verstärkte Schutzmaßnahmen. Dazu gehören eine Quarantänezeit für neue Paketversionen im npm-Registry, das strikte Festnageln (pinning) von Dependency-Versionen auf bekannte, sichere Releases und die Integration spezieller Sicherheitstools in den Entwicklungs-Workflow.

Der schnelle Erfolg der Community und von npm, die Pakete zu identifizieren und zu entfernen, zeigt die Stärke kollektiver Sicherheitsarbeit. Doch der Fall macht auch deutlich: Die Branche muss von reaktiven zu proaktiven Sicherheitsstrategien übergehen. Die Integrität von Open-Source-Komponenten ist keine Selbstverständlichkeit, sondern eine permanente Aufgabe, die über die Stabilität unzähliger digitaler Infrastrukturen entscheidet.

boerse | 69044816 |