Supply-Chain-AngriffeMalwareCyberkriminalität

Nordkorea hinter axios-Anschlag: Massiver Supply-Chain-Angriff auf beliebteste JavaScript-Bibliothek

Nordkorea hinter axios-Anschlag: Massiver Supply-Chain-Angriff auf beliebteste JavaScript-Bibliothek
Zusammenfassung

Eine nordkoreanische Hackergruppe ist für einen massiven Angriff auf die beliebte JavaScript-Bibliothek axios verantwortlich, die weltweit mehr als 100 Millionen Mal pro Woche heruntergeladen wird. Google Threat Intelligence Group und weitere Sicherheitsforscher attributieren den Supply-Chain-Angriff der Gruppe UNC1069, die bereits in der Vergangenheit für Cyberattacken mit nordkoreanischem Hintergrund bekannt ist. Die Angreifer übernahmen das Konto des axios-Hauptverantwortlichen auf dem Node Package Manager und verteilten zwei manipulierte Versionen mit einer ferngesteuerten Malware, die Befehle ausführen, Systemdaten ausspähen und sich auf Computern festsetzen kann. Da axios eine der zehn beliebtesten npm-Pakete ist und von unzähligen Anwendungen abhängen, könnte der Angriff potenziell Hunderttausende Organisationen betroffen haben. Für deutsche Unternehmen und Behörden, die auf JavaScript-basierte Entwicklung setzen, stellt dies eine ernsthafte Bedrohung dar. Der Vorfall unterstreicht die wachsende Verwundbarkeit der globalen Software-Lieferkette, insbesondere bei Open-Source-Projekten, die oft mit begrenzten Ressourcen betrieben werden.

Die Attacke wurde am Montagabend öffentlich, als zwei manipulierte Versionen des axios-Pakets im Node Package Manager (NPM) veröffentlicht wurden. Sicherheitsfirmen wie Socket und StepSecurity identifizierten sofort die malicious Pakete und verfolgten die Kompromittierung bis zum gehackten NPM-Account des führenden axios-Maintainers zurück.

Das Ausmaß der Bedrohung wird durch die technische Analyse deutlich: Die manipulierte Version injiziert eine neue Abhängigkeit, die Malware installiert. Diese Multi-Stage-Payload ist ein Remote-Access-Trojan (RAT), der willkürliche Befehle ausführen, Systemdaten exfiltrieren und sich auf befallenen Computern festsetzen kann. Besonders tückisch ist die Verschleierungstaktik: Nach der Ausführung löscht sich die Malware selbst und ersetzt sie durch die legitime axios-Version – wodurch eine Erkennung erheblich erschwert wird.

Google-Analyst John Hultquist betont die Bedeutung: “North Korea verfügt über umfangreiche Erfahrung mit Supply-Chain-Angriffen, die sie historisch zum Diebstahl von Kryptowährungen eingesetzt haben.” Dies bestätigt sich durch frühere Fälle wie den 2023er-Angriff auf 3CX. Die Verbindung zu UNC1069 wird durch Ähnlichkeiten zur WAVESHAPER-Malware gestützt, die die Gruppe in früheren Zoom-Betrugskampagnen einsetzte.

Die Gefährlichkeit liegt auch in der Kontrollierbarkeit: Axios-Maintainer konnten den angegriffenen Account nicht unmittelbar zurückfordern, da der Angreifer erweiterte Berechtigungen hatte. StepSecurity bewertet dies als “eine der operativ raffintertesten Supply-Chain-Attacken gegen ein Top-10-NPM-Paket”.

Charles Carmakal von Mandiant warnt vor Kettenreaktionen: “Die in den letzten zwei Wochen gestohlenen Geheimnisse werden weitere Supply-Chain-Anschläge, Ransomware-Attacken und Kryptowährungsdiebstähle in den kommenden Wochen ermöglichen.” Experten berichten von Hunderttausenden kompromittierten Anmeldedaten.

Die Vorfälle unterstreichen die Fragilität des globalen Softwareökosystems. Ein einzelner gehackter Account – drei Stunden Aktionszeit – potenziell Zehntausende Organisationen betroffen. Deutsche Entwickler und Unternehmen sollten sofort überprüfen, ob sie die manipulierten axios-Versionen bezogen haben und ihre Systeme auf verdächtige Aktivitäten scannen.

Ähnliche Artikel