Nach Darstellung von StepSecurity kontaktiert der sogenannte Dropper einen aktiven Command-and-Control-Server und liefert plattformspezifische Schadprogramme der zweiten Stufe aus. Nach der Ausführung löscht sich die Malware selbst und ersetzt ihre eigene package.json durch eine saubere Version, um eine forensische Analyse zu erschweren.
Die beiden Axios-Versionen waren jeweils etwa drei Stunden aktiv, bis N), wobei eine Version von plain-crypto-js laut einem Blogbeitrag von Endor Labs mehr als 21 Stunden öffentlich verfügbar war, bevor sie gesperrt wurde. Indikatoren für eine Kompromittierung finden sich in den Veröffentlichungen von StepSecurity, Endor Labs und Socket. Feross Aboukhadijeh, CEO von Socket, erklärte gegenüber Dark Reading, im JavaScript-Ökosystem sei dies „die Art von Vorfall, bei dem Teams alles stehen und liegen lassen und ihre Abhängigkeiten sofort überprüfen sollten“.
Die Zuordnung des Angriffs blieb zunächst uneinheitlich. Frühe Berichte brachten die Aktivität mit dem Bedrohungsakteur TeamPCP in Verbindung, der für cloud-native Angriffe einschließlich Ransomware bekannt ist. Google übermittelte Dark Reading jedoch eine Stellungnahme, die den Angriff dem mutmaßlich nordkoreanischen Akteur UNC1069 zuschreibt. John Hultquist, Chefanalyst der Google Threat Intelligence Group, schrieb, das volle Ausmaß des Vorfalls sei noch unklar, Google rechne jedoch mit weitreichenden Folgen.
Ashish Kurmi von StepSecurity verweist auf die Arbeitsweise des Trojaners: Dessen erste Handlung sei das Profiling des Geräts – Hostname, Benutzername, Betriebssystem, Prozesse, Verzeichnisstruktur –, bevor überhaupt etwas anderes geschehe. „Das ist Katalogisierung, kein Plündern“, so Kurmi. Ein simpler Infostealer greife Zugangsdaten ab und verschwinde; dieser hingegen erfasse die Umgebung und warte auf Anweisungen, was auf Zugangsvermittlung oder gezielte Spionage hindeute. Axios laufe in Entwicklungsumgebungen mit Quellcode, Deploy-Schlüsseln und Cloud-Zugangsdaten – für einen Kryptominer wertlos.
Sollte Nordkorea beteiligt sein, ändere das die Einordnung erheblich, sagt Kurmi: UNC1069 gilt als Teil der nordkoreanischen Lazarus-Gruppe, die Kryptowährungen stiehlt und Zugangsdaten für Wallets oder Fintech-Infrastrukturen erbeutet. Besonders bemerkenswert wäre, dass es sich um die erste erfolgreiche Kompromittierung eines der zehn meistgenutzten NPM-Pakete durch Nordkorea handeln würde.
Im Gegensatz zu früheren Open-Source-Angriffen wie Shai-hulud oder GlassWorm beschreibt StepSecurity diesen Vorfall als „Präzisionsangriff“. Die schädliche Abhängigkeit sei 18 Stunden im Voraus platziert worden, drei Schadprogramme für drei Betriebssysteme vorab erstellt und beide Release-Zweige innerhalb von 39 Minuten vergiftet worden. Bereits zwei Sekunden nach dem npm install habe die Malware den Server des Angreifers kontaktiert, noch bevor NPM die Abhängigkeiten vollständig aufgelöst hatte. Laut StepSecurity zählt der Vorfall zu den operativ ausgefeiltesten Supply-Chain-Angriffen, die je gegen ein Top-10-NPM-Paket dokumentiert wurden – anders als typische Angriffe, die auf Typosquatting setzen, erforderte er die Übernahme eines echten Maintainer-Kontos und die Umgehung der OIDC-basierten Veröffentlichungspipeline.
Da das Hauptexpositionsfenster nur etwa drei Stunden betrug, sei die Zahl der Installationen begrenzt, betont Kurmi. Betroffene Entwickler hätten in dieser Zeit jedoch weder Fehler noch Warnung oder Spur bemerkt: „Eine stille, spurlose Kompromittierung des Rechners eines Entwicklers ist ein grundlegend anderes Risiko als etwas Lautes, das schnell behoben wird.“ Auch Endor-Labs-Forscher Peyton Kennedy sieht eine deutliche Steigerung der Raffinesse und spricht von „bewusstem, geplantem Vorgehen eines erfahrenen Bedrohungsakteurs“.
