HackerangriffeSupply-Chain-SicherheitSchwachstellen

Nordkoreanische Hacker kompromittierten beliebtes npm-Paket Axios durch Social Engineering

Nordkoreanische Hacker kompromittierten beliebtes npm-Paket Axios durch Social Engineering
Zusammenfassung

Die nordkoreanische Hackergruppe UNC1069 hat einen der wichtigsten JavaScript-Pakete im npm-Ökosystem erfolgreich kompromittiert – durch eine äußerst raffinierte Social-Engineering-Kampagne gegen den Axios-Maintainer Jason Saayman. Die Angreifer imitierten einen legitimen Firmengründer, klonten dessen Identität und erstellten eine täuschend echte Slack-Workspace sowie ein gefälschtes Microsoft-Teams-Meeting, um Saayman zur Installation einer Malware zu verleiten. Nach erfolgreicher Infiltration stahlen sie seine npm-Anmeldedaten und veröffentlichten zwei trojanisierte Versionen des Axios-Pakets mit dem Implantat WAVESHAPER.V2. Die Auswirkungen sind erheblich: Axios wird weltweit etwa 100 Millionen Mal pro Woche heruntergeladen und ist tiefgreifend in das JavaScript-Ökosystem integriert. Für deutsche Entwickler, Unternehmen und Behörden, die JavaScript-Anwendungen nutzen oder entwickeln, stellt dieser Vorfall ein kritisches Sicherheitsrisiko dar. Das Incident zeigt, wie Angreifer zunehmend Open-Source-Maintainer ins Visier nehmen, um durch Supply-Chain-Attacken Millionen Endnutzer zu gefährden. Es unterstreicht die Notwendigkeit verstärkter Sicherheitsmaßnahmen in der Software-Lieferkette und sensibilisiert für die wachsende Bedrohung durch staatliche Akteure im Open-Source-Bereich.

Der Vorfall zeigt ein neues Muster in der Cyberkriminalität: Statt Endnutzer direkt anzugreifen, konzentrieren sich nordkoreanische Hacker zunehmend auf die Schwachstelle in der Supply Chain – die Maintainer von Open-Source-Projekten. Im Fall von Axios gelang es UNC1069 durch eine außergewöhnlich professionell durchgeführte Social-Engineering-Kampagne, das Vertrauen des Projektverantwortlichen Jason Saayman zu gewinnen.

Die Angreifer gingen dabei methodisch vor: Sie klonten die Identität eines bekannten Unternehmens, einschließlich des Fotos des Gründers, erstellten einen täuschend echt wirkenden Slack-Workspace mit passendem Branding und relevanten Inhalten und lockten Saayman zu einem gefälschten Microsoft-Teams-Meeting. Dort wurde ihm eine Fehlermeldung gezeigt, die besagte, dass ein System-Update erforderlich sei. Der Klick auf das Update führte zur Installation des Remote-Access-Trojaners und damit zum Diebstahl seiner npm-Anmeldedaten.

Die beiden manipulierten Axios-Versionen (1.14.1 und 0.30.4) enthielten einen Implant namens WAVESHAPER.V2. Sicherheitsforscher betonen, dass die Koordination und Ausführung des Angriffs extrem professionell waren – ein Merkmal, das UNC1069 und verwandten Gruppen wie BlueNoroff zugeordnet wird.

Die Konsequenzen sind beträchtlich: Mit knapp 100 Millionen wöchentlichen Downloads ist Axios eines der meistgenutzten JavaScript-Pakete weltweit. Jedes Unternehmen, das diese Bibliothek – direkt oder indirekt über Abhängigkeiten – nutzt, könnte potenziell betroffen sein. Dies ist besonders kritisch für deutsche Softwareunternehmen, Fintech-Unternehmen und alle Organisationen mit Web-Anwendungen.

Als Reaktion kündigte Saayman mehrere Schutzmaßnahmen an: vollständiges Zurücksetzen aller Geräte und Anmeldedaten, Implementierung unveränderlicher Releases, Adoption von OIDC-Flow für das Package Publishing und Aktualisierung von GitHub Actions nach Best Practices.

Der Angriff zeigt ein wachsendes Risiko für Open-Source-Communities. Während UNC1069 historisch vor allem Kryptowährungsunternehmer und Investoren angegriffen hat, markiert diese Entwicklung hin zu OSS-Maintainern einen neuen, besorgniserregenden Trend. Sicherheitsexperte Ahmad Nassri weist auf ein grundlegendes Problem hin: Die Komplexität moderner JavaScript-Abhängigkeiten macht es extrem schwierig, tatsächliche Sicherheitsrisiken zu erfassen und zu bewerten.

Ähnliche Artikel