Auf den Punkt: axios-Versionen 1.14.1 und 0.30.4 enthalten Schadsoftware. Betroffen sind Systeme mit diesen Versionen und weitere npm-Pakete. Sofortiges Downgrade auf sichere Versionen notwendig. Betroffene Systeme gelten als vollständig kompromittiert.
Die weit verbreitete JavaScript-Bibliothek axios mit über 300 Millionen wöchentlichen Downloads wurde durch zwei kompromittierte Paketversionen zum Angriffsvektor. Über einen gekaperten npm-Account wurden Versionen mit Remote Access Trojanern verbreitet.
Die JavaScript-HTTP-Bibliothek axios wurde Anfang April 2026 zum Ziel eines Supply-Chain-Angriffs. Ein Angreifer gelang es, den npm-Account eines Hauptentwicklers zu kapern und zwei schadhafte Versionen zu veröffentlichen: axios@1.14.1 und axios@0.30.4.
Beide Versionen enthalten eine manipulierte Abhängigkeit namens plain-crypto-js@4.2.1. Diese wird beim Installieren automatisch heruntergeladen und ein plattformspezifischer Remote Access Trojaner für macOS, Windows und Linux ausgeführt. Das postinstall-Skript handelt ohne Benutzerinteraktion: Es verbindet sich zu einem Command-and-Control-Server unter sfrclak.com:8000, lädt den RAT herunter und führt ihn aus. Danach überschreibt sich die Schadsoftware selbst mit einer unauffälligen Version, um forensische Ermittlungen zu erschweren.
Die Schadenswelle reichte über die ursprünglichen axios-Versionen hinaus. Socket-Analysen zeigen, dass weitere npm-Pakete die Schadsoftware transitiv verbreiteten: Das Paket @shadanai/openclaw enthält den schadhaften Payload direkt in gebündelten Pfaden, während @qqbrowser/openclaw-qbot@0.0.130 die manipulierte axios@1.14.1 in seinem node_modules-Verzeichnis bereitstellte. Diese Pakete wurden vermutlich während des Angriffsfensters erstellt, als die befallene axios-Version aktuell war.
Die Kompromittierung breitete sich auch auf andere Ökosysteme aus: Das JSII-Modul jjrawlins-cdk-iam-policy-builder-helper (Version 0.0.194) ist sowohl auf PyPI als auch auf NuGet betroffen, da es von der kompromittierten axios-Version abhängt.
Systeme mit den betroffenen Versionen müssen als vollständig kompromittiert betrachtet werden. Administratoren sollten sofort ein Downgrade auf axios@1.14.0 oder axios@0.30.3 durchführen und alle betroffenen Systeme überprüfen. Die schadhaften Versionen wurden inzwischen von npm entfernt. Dieser Incident reiht sich in eine Serie von Supply-Chain-Angriffen auf kritische Softwarepakete ein.
Quelle: www.cert.at