Axios gehackt: Malware über beliebten HTTP-Client verbreitet
Sie befinden sich: Home > News Archiv > Virus > Axios gehackt: Malwa...
Ein Angreifer hat den NPM-Account des Axios-Maintainers übernommen und zwei verseuchte Versionen veröffentlicht. Das Paket zählt über 100 Millionen Downloads pro Woche.
Fernzugriffstrojaner für alle Betriebssysteme
Besonders brisant an dem Angriff: Die eingeschleuste Schadsoftware funktioniert plattformübergreifend. Der Angreifer hat den manipulierten Axios-Versionen eine neue Abhängigkeit namens "plain-crypto-js@4.2.0" hinzugefügt. Dieses Paket enthält ein sogenanntes Postinstall-Skript, das beim Installieren automatisch ausgeführt wird. Je nach erkanntem Betriebssystem lädt es dann unterschiedlichen Schadcode nach, der sowohl Windows als auch Linux und macOS befallen kann.
Sicherheitsforscher der Firmen Stepsecurity und Socket haben in ihren Analysen bestätigt, dass es sich bei der nachgeladenen Schadsoftware um einen sogenannten Remote Access Trojaner (RAT) handelt. Damit erhält der Angreifer vollen Fernzugriff auf ein infiziertes System und kann dort beliebige Befehle ausführen, Dateien auslesen oder weitere Schadsoftware nachladen.
Was genau passiert ist
Axios ist einer der populärsten HTTP-Clients im JavaScript-Ökosystem. Das Paket wird von Millionen Entwicklern weltweit genutzt und erreichte zuletzt mehr als 100 Millionen Downloads pro Woche über die NPM-Paketdatenbank. In der Nacht auf den 31. März 2026 ist es einem bislang unbekannten Angreifer gelungen, das NPM-Konto des Maintainers Jason Saayman zu übernehmen. Über diesen kompromittierten Account wurden zwei manipulierte Versionen veröffentlicht: Version 1.14.1 und Version 0.30.4.
Die Sicherheitsforscher von Aikido haben den Vorfall als erste öffentlich dokumentiert. Innerhalb von rund drei Stunden konnten die verseuchten Versionen wieder aus der NPM-Datenbank entfernt werden. Doch in diesem Zeitfenster haben vermutlich zahlreiche Entwicklersysteme und automatisierte CI/CD-Pipelines die kompromittierten Pakete heruntergeladen und installiert.
So prüfst du, ob dein System betroffen ist
Die Aikido-Forscher stellen in ihrem Blogbeitrag konkrete Befehle bereit, mit denen sich feststellen lässt, ob auf einem System eine der beiden manipulierten Axios-Versionen installiert wurde. Zusätzlich lässt sich prüfen, ob lokale Spuren des eingeschleusten Trojaners vorhanden sind.
Wer feststellt, dass eine der betroffenen Versionen auf dem eigenen System gelandet ist, sollte sofort handeln. Folgende Maßnahmen sind dringend empfohlen:
- Alle NPM-Token sofort ungültig machen und neu generieren
- AWS-Zugangsschlüssel rotieren
- SSH-Keys austauschen
- Sämtliche Passwörter und API-Keys ändern, die auf dem betroffenen System gespeichert waren
- Das gesamte System als kompromittiert betrachten und von einem sauberen Backup neu aufsetzen
Es muss davon ausgegangen werden, dass der Angreifer während der Kompromittierung Zugriff auf alle lokal gespeicherten vertraulichen Daten hatte.
Supply-Chain-Angriffe häufen sich
Der Vorfall reiht sich in eine besorgniserregende Serie von Supply-Chain-Angriffen ein, die in den letzten Wochen das NPM-Ökosystem erschüttert haben. Mehrere dieser Attacken konnten einem Akteur namens TeamPCP zugeordnet werden. Allerdings gibt es bislang keine Hinweise darauf, dass TeamPCP auch hinter dem Axios-Angriff steckt. Die Vorgehensweise unterscheidet sich deutlich: TeamPCP setzt typischerweise auf Infostealer, die gezielt Anmeldedaten abgreifen. Der Axios-Angriff hingegen nutzte einen Fernzugriffstrojaner, was auf einen anderen Akteur mit anderen Zielen hindeutet.
Was Entwickler jetzt tun sollten
Dieser Vorfall zeigt einmal mehr, wie verwundbar die Software-Lieferkette im NPM-Ökosystem ist. Ein einziges kompromittiertes Entwicklerkonto reicht aus, um Schadcode in hunderttausende Projekte zu schleusen. Entwickler sollten ihre Abhängigkeiten regelmäßig überprüfen, Lockfiles verwenden und idealerweise auf Tools wie Socket oder Aikido setzen, die verdächtige Änderungen in Paketen automatisch erkennen können. Zwei-Faktor-Authentifizierung für NPM-Konten sollte ohnehin selbstverständlich sein.
client millionen veröffentlicht http woche
Neusten News in der Kategorie "Virus"
| • Neue Android-Malware manipuliert Kontaktliste für Fake-Anruf... Eine neue Android-Malware namens RoarBat fügt gefälschte Kon... |
| • Wie ein Komma die Defender-Sicherheit aushebelt Ein simples Komma genügt, um die Sicherheitsmechanismen des Micro... |
| • Handy-Virus: Jedes Java“-Handy ist gefährdet – Virus verschi... Mit dem Namen "Trojan-SMS.J2ME.RedBrowser.a" wurde der erste Handy-Vir... |
| • Trojaner ''Meheerwar'' im Umlauf - Er öffnet und schließt u.... Zurzeit ist der Trojaner "Meheerwar" im Internet unterwegs. Der Virus ... |
| • Mit gefälschten Februar-Rechnungen der Telekom wird Trojaner... Seit ein paar Tagen finden viele Internetnutzer in ihren Internetbrief... |
| • Viren: Neues Angriffsziel sind Handys und Konsolen Antiviren-Spezialisten haben im Jahr 2005 nur zwei größere Virenausbrü... |
| • Trojaner überschreibt Google AdSense-Werbung Ein Trojaner überschreibt Google AdSense-Anzeigen auf Websites und in ... |
| • Gefährlicher Virus verbreitet sich als Messenger-Update Ein neuer Virus breitet sich derzeit im Internet aus. Dieser Virus hei... |
| • Neuer Weihnachtswurm im Umlauf Seit kurzem ist ein neuer Weihnachtswurm im Umlauf, dies meldet der An... |
| • Sober-Virus: Anti-Viren-Experten entschlüsseln den Wurm Mit Hilfe von E-Mails, die angeblich vom BKA waren, hat sich der Sober... |
Kommentar schreiben
Teilen Sie uns Ihre Meinung mit. Ihr Kommentar wird nach Pruefung veroeffentlicht.