Axios: Kompromittierung von : Malware über NPM verbreitet
newsroom 
Die Zahlen
Am 31. März 2026 wurde bekannt, dass das NPM-Konto des Axios-Maintainers kompromittiert wurde, um Malware zu verbreiten. Die betroffenen Versionen von Axios sind 1.14.1 und 0.30.4. Über diese Versionen wurde ein Trojaner verbreitet, der Angreifern Fernzugriff auf infizierte Systeme ermöglicht. Die Malware wurde über eine manipulierte Abhängigkeit namens [email protected] verteilt und betrifft alle gängigen Betriebssysteme, darunter Windows, Linux und macOS.
Die Kompromittierung der Pakete geschah in einem alarmierend kurzen Zeitraum: innerhalb von nur 15 Sekunden nach der Installation konnten die Angreifer bereits auf die Systeme zugreifen. Die kompromittierten Pakete wurden innerhalb von drei Stunden aus der NPM-Datenbank entfernt, was darauf hindeutet, dass die Reaktion auf den Vorfall schnell war. Dennoch bleibt die Frage, wie viele Systeme bereits betroffen sind, da Axios wöchentlich über 100 Millionen Downloads verzeichnet.
Die Malware nutzt ein postinstall-Skript, um automatisch einen Remote Access Trojaner herunterzuladen. Diese Malware löscht sich nach der Ausführung selbst, was forensische Analysen erheblich erschwert. Die Angreifer haben Zugang zu Entwicklersystemen auf allen gängigen Betriebssystemen erlangt, was die Bedrohung weiter verstärkt.
Die Kampagne zeigt, wie verwundbar das NPM-Ökosystem gegenüber gezielten Eingriffen ist. Die Wahl von Axios als Angriffsziel ist dabei kein Zufall: Das Paket ist in Webanwendungen, Node.js-Backend-Diensten und CI/CD-Pipelines allgegenwärtig. Die Angreifer haben die Möglichkeit, Dateilistings und Systeminformationen an ihren Command-and-Control-Server zu übertragen, der über den Port 8000 kommuniziert.
Die Größe der verschiedenen RATs (Remote Access Trojans) variiert, wobei die macOS-Version 643 KB, die Linux-Version 13 KB und die Windows-Version 11 KB groß ist. Diese Details verdeutlichen die Professionalität der Angreifer, die in der Lage sind, solch komplexe Malware zu entwickeln und zu verbreiten.
Die unkritische Ausführung von npm install ohne vorherige Prüfung ist keine vertretbare Praxis mehr, wie Experten warnen. Die in diesem Beitrag bereitgestellten Informationen wurden sorgfältig recherchiert, erheben jedoch keinen Anspruch auf Vollständigkeit oder absolute Richtigkeit. Details bleiben unbestätigt.
Die jüngste Serie der Supply-Chain-Angriffe auf prominente Softwarepakete reißt nicht ab, und die Vorfälle rund um Axios sind ein weiterer Beweis für die anhaltenden Risiken in der Softwareentwicklung. Die Sicherheitslage bleibt angespannt, und Entwickler sind aufgerufen, ihre Praktiken zu überdenken und Sicherheitsmaßnahmen zu verstärken.
