NPM-Schock:: Supply-Chain-Angriff trifft Millionen Axios-Nutzer

Die Google Threat Intelligence Group (GTIG) beobachtet derzeit einen aktiven Angriff auf das weit verbreitete NPM-Paket „axios“. Zwischen dem 31. März 2026, 00:21 und 03:20 Uhr koordinierter Weltzeit, wurde in die Versionen 1.14.1 und 0.30.4 eine bösartige Abhängigkeit namens „plain-crypto-js“ eingeschleust. Angesichts von über 100 Millionen wöchentlichen Downloads ist die Tragweite erheblich.

Kompromittierter Maintainer als Einfallstor

Die Analyse zeigt, dass das Konto eines Paketverwalters übernommen wurde. Die zugehörige E-Mail-Adresse wurde durch eine vom Angreifer kontrollierte Adresse ersetzt. Dadurch konnte unbemerkt eine manipulierte Abhängigkeit integriert werden.

Besonders perfide: Über einen sogenannten „postinstall“-Mechanismus wurde beim Installieren automatisch ein verschleierter Dropper („setup.js“) ausgeführt – ohne sichtbare Hinweise für Entwickler.

Plattformübergreifende Malware-Verteilung

Das eingeschleuste Paket fungiert als Verteiler für Schadsoftware. Der enthaltene Dropper erkennt das Betriebssystem und lädt gezielt passende Payloads nach. Zur Verschleierung nutzt die Malware XOR- und Base64-Obfuskation sowie dynamisches Nachladen kritischer Funktionen.

Backdoor WAVESHAPER.V2 im Einsatz

Die Schadsoftware installiert eine weiterentwickelte Backdoor namens WAVESHAPER.V2. Diese ermöglicht vollständige Fernkontrolle über infizierte Systeme. Die Kommunikation mit der C&C-Infrastruktur erfolgt alle 60 Sekunden über Port 8000 – getarnt mit einem veralteten User-Agent.

Spur führt nach Nordkorea

Die Google Threat Intelligence Group ordnet den Angriff der Gruppe UNC1069 zu, die seit mindestens 2018 aktiv ist. Hinweise darauf liefern insbesondere Überschneidungen in der genutzten Infrastruktur und in Netzwerkverbindungen, die Nutzung bereits bekannter Malware-Familien sowie auffällig ähnliche Kommunikationsmuster und Angriffstechniken. Die Gruppe gilt als finanziell motiviert und setzt zunehmend auf Supply-Chain-Angriffe, um ihre Ziele effizient zu erreichen.

Wachsende Bedrohung für Open Source

Der Vorfall ist kein Einzelfall. Parallel wurden weitere Angriffe auf Open-Source-Projekte beobachtet, unter anderem durch UNC6780, bei denen ebenfalls Build-Pipelines und Paketquellen kompromittiert wurden. Die Folgen sind gravierend und reichen vom Diebstahl sensibler Zugangsdaten über Folgeangriffe auf Cloud- und Softwareumgebungen bis hin zu Erpressung und Kryptowährungsdiebstahl. Supply-Chain-Angriffe nutzen dabei gezielt das Vertrauen, das Entwickler und Unternehmen in etablierte Tools sowie in gemeinschaftlich entwickelte Softwareprojekte setzen.

Maßnahmen: Schnelles Handeln erforderlich

GTIG empfiehlt dringend sofortige Gegenmaßnahmen:

• Version Control: Keine Nutzung der kompromittierten Versionen 1.14.1 und 0.30.4
• Dependency Pinning: Fixierung sicherer Versionen in Lockfiles
• Malicious Package Audit: Prüfung auf „plain-crypto-js“ mit Analyse-Tools
• Pipeline Security: Stopp automatischer Builds mit unsicheren Abhängigkeiten
• Incident Response: Systeme bei Fund als kompromittiert behandeln
• Network Defense: Blockierung der bekannten C2-Infrastruktur
• Cache Remediation: Bereinigung lokaler Paket-Caches
• Endpoint Protection: Einsatz moderner Endpoint Detection and Response
• Credential Management: Rotation aller Schlüssel und Zugangsdaten
• Sandboxing: Isolierung von Entwicklungsumgebungen und sichere Ablage von Geheimnissen

Der Angriff auf axios zeigt eindrücklich, dass selbst kleinste Veränderungen in Abhängigkeiten massive Auswirkungen haben können. Das volle Ausmaß des Vorfalls ist derzeit noch unklar, aber angesichts der großen Verbreitung des kompromittierten Pakets ist davon auszugehen, dass die Auswirkungen weitreichend sein werden.