MalwareCyberkriminalitätSchwachstellen

Axios-Paket gehackt: Angreifer verteilen Malware an Millionen Entwickler weltweit

Axios-Paket gehackt: Angreifer verteilen Malware an Millionen Entwickler weltweit
Zusammenfassung

# Axios-Paket: Massive Sicherheitslücke in beliebter JavaScript-Bibliothek Cyberkriminelle haben das Nutzerkonto des JavaScript-Pakets Axios auf dem Node Package Manager gehackt und zwei manipulierte Versionen veröffentlicht, um Malware auf Windows-, macOS- und Linux-Systemen zu verteilen. Axios ist ein weit verbreiteter HTTP-Client mit über 100 Millionen wöchentlichen Downloads und wird von hunderten Millionen Projekten verwendet. Die Angreifer kompromittierten das Konto des Hauptentwicklers Jason Saayman und injizierten eine bösartige Abhängigkeit namens plain-crypto-js, die beim Installieren des Pakets ein Installationsskript ausführt. Dieses kontaktiert einen Command-and-Control-Server und lädt je nach Betriebssystem unterschiedliche Malware herunter – Remote-Access-Trojaner, die es Angreifern ermöglichen, Befehle auszuführen und die Kontrolle über infizierte Systeme zu behalten. Der Angriff war nicht zufällig, sondern sorgfältig geplant: Die böse Abhängigkeit wurde 18 Stunden im Voraus vorbereitet. Für deutsche Entwickler, Softwareunternehmen und IT-Administratoren stellt dieser Vorfall eine erhebliche Bedrohung dar. Viele deutsche Firmen nutzen Axios in ihren Web- und Node.js-Anwendungen. Betroffen sind potentiell alle Systeme, die die manipulierten Paketversionen installiert haben, was zu Datenverlust, unbefugtem Zugriff und Spionage führen könnte. Unternehmen sollten sofort überprüfen, ob diese Versionen in ihren Abhängigkeiten vorhanden sind.

Der Sicherheitsmangel bei Axios zeigt die fragile Natur der Software-Lieferkette: Angreifer verschafften sich Zugang zum npm-Konto von Jason Saayman, dem Hauptentwickler des Pakets, und publizierten am 9. Januar 2025 zwei bösartige Versionen – axios@1.14.1 und axios@0.30.4 – in schneller Abfolge. Ein entscheidendes Detail fiel auf: Die manipulierten Pakete fehlten der sonst übliche OpenID-Connect-Authentifizierung und es gab keinen zugehörigen GitHub-Commit – Warnsignale, die hätten erkannt werden müssen.

Die Infektionsmethode war raffiniert und zielgerichtet. Statt den Axios-Code selbst zu verändern, injizierten die Angreifer eine bösartige Abhängigkeit, die bei der Installation automatisch ein Skript (setup.js) ausführte. Dieses kontaktierte einen Command-and-Control-Server und lud je nach Betriebssystem unterschiedliche Payload herunter – ein Zeichen sorgfältiger Planung.

Auf Windows-Systemen kombinierte die Malware VBScript und PowerShell, um versteckt ein Befehlsfenster zu öffnen. Besonders tückisch: Das Trojanische Pferd kopierte PowerShell nach %PROGRAMDATA%\wt.exe, um der Erkennung zu entgehen und Persistenz über Neustarts hinweg zu sichern. MacOS-Nutzer wurden über AppleScript angegriffen, Linux-Systeme mit Python-basierten Payloads infiziert.

Das resultierende Remote-Access-Trojan gibt Angreifern umfassende Kontrolle: Sie können Befehle ausführen, Verzeichnisse auflisten und versteckte Dateien auf Systemen installieren. Nach der Infektion löscht sich die Malware selbst und stellt die ursprüngliche package.json wieder her – eine aggressive Verschleierungstaktik.

Sicherheitsforscher von StepSecurity betonen, dass dies kein zufälliger Angriff war. Die bösartige Abhängigkeit wurde 18 Stunden im Voraus bereitgestellt, die technische Finesse und das Selbstzerstörungs-Verhalten deuten auf professionelle Cyberkriminelle hin. Allerdings konnte der Angriff bislang nicht einer bekannten Hackergruppe zugeordnet werden.

Deutsche Entwickler sollten sofort handeln: Auf axios@1.14.0 oder axios@0.30.3 (die letzten sauberen Versionen) downgraden, alle Zugangsdaten rotieren und Systeme von bekannt sauberen Zuständen neu aufbauen. Organisationen müssen ihre npm-Abhängigkeiten überprüfen und ihr Supply-Chain-Monitoring verschärfen.

Ähnliche Artikel