Déi populär Axios Bibliothéik, déi a ville JavaScript-Projete benotzt gëtt fir HTTP-Ufroen auszeféieren, huet eng Versuergungskettenattack opgeholl, déi zwou spezifesch Versiounen, déi am NPM-Registry publizéiert goufen, kompromittéiert. Investigadores vu StepSecurity identifizéiert Versiounen 1.14.1 an 0.30.4 als béiswëlleg, publizéiert an de fréie Stonnen vum 31. Mäerz 2026. D’Packagen hunn eng gefälschte Ofhängegkeet injizéiert, déi en Installatiounsskript leeft, deen e Fernzougang Trojan op Entwécklermaschinnen installéiere kann.
Den Tëschefall huet de grousse Entwécklungs-Ökosystem ausgesat, deen vun der Bibliothéik hänkt, ee vun de meescht erofgelueden op der Plattform mat méi wéi 100 Millioune wëchentlech Downloads. D’Attacker hunn de Kärcode vum Axios net geännert, awer eng verstoppte Ofhängegkeet bäigefüügt [email protected]. Essa Ofhängegkeet automatesch aktivéiert wann npm Installatioun leeft, spezifesch Notzlaascht fir Windows, macOS an Linux installéiert.
Wéi war den Ënnerhalt Kont kompromittéiert
Déi verantwortlech fir den Attack kruten Zougang zum NPM Kont vum Haaptunterhalter vum Projet, identifizéiert als jasonsaayman. Eles huet déi verbonne E-Mailadress geännert op[email protected]a manuell déi kompromittéiert Versioune publizéiert, ëmgoen de Repository automatesch kontinuéierlech Integratiounsfloss op GitHub. Déi éischt béiswëlleg Versioun, [email protected], gouf ëm 00:21 UTC verëffentlecht, gefollegt vun [email protected] ongeféier 39 Minutte méi spéit.
Dës Approche erlaabt Pakete verfügbar ze maachen ouni Ënnerschrëftkontrollen oder üblech CI / CD Prozesser auszeléisen. Axios Ënnerhalter reagéiert séier op Entdeckung, an NPM geläscht béid Versiounen bannent Stonnen, Beliichtung Zäit limitéiert op ongeféier zwou bis dräi Stonnen.
⚡ OPGEPASST – Axios npm (83M wöchentlech Downloads) gouf kompromittéiert, mécht Installatiounen an e Malware Liwwerung Wee.
—The Hacker News (@TheHackersNews)31. Mäerz 2026
D’Versioune 1.14.1 an 0.30.4 hunn eng falsch Ofhängegkeet gezunn, déi e Cross-Plattform RAT erofgelooss huet, duerno Beweiser geläscht. Published benotzt geklauten Ënnerhalter Umeldungsinformatiounen.
🔗What…pic.twitter.com/rBTiPGZmbr
Technesch Detailer vun der injizéierter Malware
Déi falsch Ofhängegkeet [email protected] gouf op kee Fall am Original Axios Code importéiert, an déngt exklusiv fir e Postinstall Skript auszeféieren. De Skript huet als Remote Access Trojan Dropper gehandelt, a Kontakt mat engem Kommando- a Kontrollserver gegrënnt fir zousätzlech Notzlaascht ze downloaden, déi op all Betribssystem ugepasst sinn.
Obfuscatiounstechnike goufen benotzt fir direkt Analyse schwiereg ze maachen, mat Kommandoen, déi an der Lafzäit dekodéiert goufen. Após erfollegräich Installatioun, d’Malware huet seng eege Spure geläscht, d’Datei package.json mat enger propperer Versioun ersat fir Detektioun a spéider Inspektiounen vum Node_modules Dossier ze vermeiden.
- Iwwerpréift fir betraff Versioune mat der npm Lëscht Axios Kommando Filteren 1.14.1 oder 0.30.4
- Iwwerpréift d’Präsenz vum node_modules/plain-crypto-js Dossier als Indikator vu Kompromëss
- Sich no Artefakte wéi temporär Dateien an /tmp/ld.py oder Äquivalenten op anere Systemer
Recommandéiert Ofsenkungsmoossname fir Entwéckler
Entwéckler, déi d’Versioune 1.14.1 oder 0.30.4 installéiert hunn, sollten d’Ëmwelt als kompromittéiert betruechten an direkt handelen. D’Haaptrecommandatioun ass zréck op déi fréier sécher Versiounen: [email protected] an der leschter Branche oder [email protected] an der legacy Versioun.
Et ass essentiell fir déi gefälscht Ofhängegkeet ze läschen, eng propper Installatioun mat dem –ignore-Scripts Fändel auszeféieren, an all sensibel Umeldungsinformatiounen ze rotéieren, dorënner NPM Tokens, SSH Schlësselen, Cloud Service Zougang, an Ëmfeld Variablen. A kontinuéierlechen Integratiounspipelines, permanent de Parameter unzehuelen, deen d’Postinstallatiounsskripte ignoréiert, hëlleft ongewollte automatesch Ausféierungen ze vermeiden.
Impakt op de JavaScript Entwécklung Ökosystem
Axios ass eng vun de meescht benotzte Bibliothéiken am Node.js Ökosystem an a Front-End Uwendungen, ass eng direkt oder indirekt Ofhängegkeet vu ville Firmen- an Open Source Projeten. D’Attack beliicht déi inherent Schwachstelle vun individuellen Ënnerhalterkonten an héich populäre Packagen, och wann de Kärcode intakt bleift.
Sécherheetsexperten bemierken datt d’Method déi benotzt gëtt operationell Raffinesséierung beweist, mat der Virbereedung vun der falscher Ofhängegkeet an enger propperer Versioun ier déi béiswëlleg Notzlaascht injizéiert gëtt. Essa Strategie komplizéiert initial automatesch Detektiounen a erhéicht Risiko während der kuerzer Period an där d’Versioune verfügbar waren.
Richtlinnen fir d’Kontroll an d’Botzen vun betroffenen Ëmfeld
Entwécklungsteams mussen d’Installatiounsprotokoller a Packagegeschicht iwwerpréiwen fir z’identifizéieren ob béiswëlleg Versioune erofgeluede goufen. D’Präsenz vum plain-crypto-js Dossier an node_modules déngt als e staarken Indikator datt den Dropper ausgefouert gouf, onofhängeg vun der spéider Dateientfernung.
Nom Botzen ass et recommandéiert Systemer mat Bedrohungserkennungsinstrumenter voll ze scannen an Netzwierkverbindunge mat Adressen ze iwwerwaachen, déi mam Kontrollserver verbonne sinn. Direkt d’Aktualiséierung vun der Sécherheetspolitik a private Repositories hëlleft och ähnlech Risiken an anere Packagen ze reduzéieren.
Verhënneren zukünfteg Attacken op Paket Logbicher
Den Tëschefall verstäerkt d’Wichtegkeet vu Moossnamen wéi eng strikt Multi-Faktor Authentifikatioun op Verëffentlechungskonten, kontinuéierlech Iwwerwaachung vun Ännerunge fir Package Metadaten, a méi robust Integritéitskontrollen unzehuelen. Projetos Open Source Systemer mat héijer Adoptioun kënnen zousätzlech Iwwerpréiwungsprozesser virum nei Verëffentlechungen berücksichtegen.
Individuell Entwéckler a Firme solle Prioritéit setzen fir bekannte sécher Versiounen an de Projet Konfiguratiounsdateien ze pinnen, automatesch Installatioun vun Updates ouni virdru Validatioun ze vermeiden. Essas Praktiken hëllefen d’Attackfläch a Softwareversuergungsketten ze limitéieren.
D’Sécherheetsgemeinschaft iwwerwaacht weider de Fall fir méiglech Affer ze kartéieren an Detektiounsinstrumenter ze verfeineren. Até Zu dësem Zäitpunkt ginn et keng ëffentlech Berichter iwwer grouss Ausbeutung, awer déi eestëmmeg Empfehlung ass all Installatioun vun de betraffene Versiounen als total Kompromëss vum involvéierte System ze behandelen.
