Ein schwerwiegender Supply-Chain-Angriff hat die populäre JavaScript-HTTP-Bibliothek Axios auf dem NPM-Paketregister getroffen. Sicherheitsforscher identifizierten zwei manipulierte Versionen – konkret 1.14.1 und 0.30.4 – die über ein kompromittiertes Entwicklerkonto veröffentlicht wurden und einen plattformübergreifenden Remote-Access-Trojaner (RAT) einschleusen.
Wie der Angriff ablief
Der Angreifer verschaffte sich Zugang zu den NPM-Credentials eines leitenden Axios-Maintainers und änderte die hinterlegte E-Mail-Adresse auf eine anonyme ProtonMail-Adresse – ein klassischer Schritt, um die Kontrolle über ein Konto dauerhaft zu übernehmen. Anstatt den üblichen CI/CD-Prozess über GitHub Actions zu nutzen, wurden die präparierten Pakete direkt über die NPM-Kommandozeile veröffentlicht. Dadurch umgingen die schadhaften Versionen sämtliche automatisierten Sicherheitsprüfungen und Code-Reviews, die normalerweise Teil des Entwicklungsprozesses sind.
In den vergifteten Paketen verbarg sich eine versteckte Abhängigkeit, die beim Installieren den eigentlichen Schadcode nachlädt: einen Cross-Platform-RAT, der auf verschiedenen Betriebssystemen ausgeführt werden kann. Remote-Access-Trojaner ermöglichen Angreifern, betroffene Systeme fernzusteuern, Daten auszulesen und weitere Malware nachzuladen.
Warum dieser Angriff besonders gefährlich ist
Axios zählt zu den meistgenutzten JavaScript-Bibliotheken überhaupt und wird in Millionen von Projekten weltweit eingesetzt – von kleinen Hobby-Projekten bis hin zu unternehmenskritischen Anwendungen. Supply-Chain-Angriffe dieser Art sind deshalb so gefährlich, weil sie das Vertrauen in etablierte, scheinbar sichere Pakete ausnutzen. Entwickler, die eine neue Version einer bekannten Bibliothek installieren, erwarten keine Schadsoftware – genau das macht solche Angriffe so effektiv.
Ähnliche Vorfälle haben in der Vergangenheit gezeigt, wie verheerend solche Attacken sein können. Der bekannteste Fall dürfte der SolarWinds-Angriff aus dem Jahr 2020 sein, aber auch im NPM-Ökosystem gab es bereits mehrfach kompromittierte Pakete – etwa bei event-stream (2018) oder ua-parser-js (2021). Das Muster ist stets ähnlich: Ein Maintainer-Account wird übernommen, eine neue Version veröffentlicht, und der Schadcode verbreitet sich über automatisierte Installationsprozesse in unzählige Projekte.
Was Entwickler jetzt tun sollten
Wer Axios in seinen Projekten einsetzt, sollte umgehend prüfen, ob die betroffenen Versionen 1.14.1 oder 0.30.4 installiert sind. Ein Blick in die package-lock.json oder yarn.lock gibt schnell Aufschluss. Betroffene Systeme sollten als kompromittiert betrachtet und einer gründlichen Sicherheitsanalyse unterzogen werden.
- Sofort auf eine nicht betroffene Axios-Version wechseln
- Installierte Abhängigkeiten mit Tools wie
npm auditüberprüfen - Systeme, auf denen die schadhaften Versionen liefen, auf Anomalien untersuchen
- NPM-Zwei-Faktor-Authentifizierung für alle Maintainer-Accounts aktivieren
Strukturelles Problem im Open-Source-Ökosystem
Der Vorfall wirft einmal mehr ein Schlaglicht auf die strukturellen Sicherheitsprobleme im Open-Source-Paket-Ökosystem. NPM hostet über zwei Millionen Pakete, von denen viele von einzelnen Freiwilligen ohne nennenswerte Sicherheitsinfrastruktur gepflegt werden. Initiativen wie Sigstore oder die verstärkte Nutzung von Hardware-Sicherheitsschlüsseln für Paket-Signaturen sind wichtige Schritte, aber noch längst nicht flächendeckend etabliert. Für Unternehmen empfiehlt sich der Einsatz privater Paket-Proxies mit Allowlists sowie automatisiertes Monitoring auf unerwartete Versionsänderungen kritischer Abhängigkeiten.
Quellen: Hacker News