Das Axios-Paket zählt zu den zehn beliebtesten NPM-Paketen weltweit. Umso alarmierender ist die Kompromittierung durch die beiden manipulierten Versionen 1.6.0 und 1.7.0. Wie die Sicherheitsfirma StepSecurity in ihrer Analyse zeigt, injizierte die Attacke eine böswillige Abhängigkeit namens „plain-crypto-js”, die sich als legitime Crypto-Bibliothek tarnte.
Die Malware funktioniert als Remote-Access-Trojan (RAT) und läuft plattformübergreifend auf Windows, Linux und macOS. Das Bemerkenswerte: Die Malware löscht sich selbst und manipuliert die package.json-Datei, um Spuren zu verwischen. “Es gibt null Zeilen böswilligen Code in Axios selbst – und genau das macht diesen Angriff so gefährlich”, fasst StepSecurity zusammen.
Dem Angriff lag eine Kompromittierung des Maintainer-Accounts „jasonsaayman” zugrunde. Der oder die Angreifer umgingen zudem die OIDC-basierte Publishing-Pipeline von Axios – eine Leistung, die laut Sicherheitsexperten auf ein erfahrenes Team hindeutet. Die beiden manipulierten Versionen waren etwa drei Stunden online, bevor NPM sie entfernte. Eine Variante von plain-crypto-js war sogar über 21 Stunden öffentlich einsehbar.
Die Operational Sophistication dieses Angriffs überrascht Fachleute: Die Malware wurde 18 Stunden voraus inszeniert, drei betriebssystemspezifische Payloads waren vorbereitet, beide Release-Branches wurden innerhalb von 39 Minuten kompromittiert. Innerhalb von zwei Sekunden nach npm install kontaktierte die Malware bereits ihren Command-and-Control-Server.
Google Threat Intelligence attributiert die Attacke dem nordkoreanischen Threat Actor UNC1069, bekannt als Arm der Lazarus Group. Diese Gruppe spezialisiert sich auf Kryptowährungsdiebstahl und Credential-Harvesting für Fintech-Angriffe. Falls die Attribution zutrifft, wäre dies Nordkoreas erstes erfolgreiche Kompromittierung eines Top-10-NPM-Pakets.
Experten warnen: Das Profiling-Verhalten der Malware (Erfassung von Hostname, Benutzername, Prozessen) deutet auf gezieltes Access-Brokering oder Spionage hin, nicht auf automatisiertes Credential-Stealing. Entwickler-Umgebungen enthalten genau das, was nordkoreanische Hacker interessiert: Quellcode, Deploy-Keys und Cloud-Credentials.
Deutsche Unternehmen sollten sofort ihre Dependencies überprüfen und die Indikatoren aus den Analysen von StepSecurity und Socket nutzen. Feross Aboukhadijeh, CEO von Socket, rät: “Teams sollten alles stehen lassen und ihre Abhängigkeiten sofort verifizieren.” Ein ruhiger, spurenfreier Kompromiss einer Entwicklermaschine stellt ein grundsätzlich anderes Risiko dar als laut Malware, die schnell gepatcht wird.