Vertrauen ist gut, Audit ist besser: Eine Analyse des Axios-Vorfalls

Der Axios-Hack: Wenn 100 Millionen Downloads zum Risiko werden

Am 31. März 2026 gab es ein böses Erwachen für das JavaScript-Ecosystem. Axios, der Standard für HTTP-Requests, wurde zum Einfallstor für einen Remote Access Trojaner (RAT) umfunktioniert. Die Aktion dauerte zwar nur wenige Stunden, die Auswirkungen sind aber noch heute zu spüren.

Die Timeline am 31. März

Alles passierte in einem extrem engen Zeitfenster zwischen 00:21 und 03:15 UTC. In dieser Zeit wurden zwei manipulierte Versionen in die npm-Registry eingeschleust:

• v1.14.1
• v0.30.4

Zwar reagierten die npm-Sicherheitsteams schnell und löschten die Pakete innerhalb von drei Stunden, doch da war es für viele schon zu spät: Tausende automatisierte CI/CD-Pipelines hatten den Schadcode bereits gezogen und in die Build-Umgebungen integriert.

Wer steckt dahinter?

Der Angriff begann klassisch mit einem Account-Takeover beim Lead-Maintainer Jason Saayman.

• Das Opfer: Saayman wurde Ziel einer Social-Engineering-Kampagne. Die Angreifer gaben sich als seriöse Firma aus und lockten ihn in einen Call. Das dafür benötigte „Meeting-Tool“ war jedoch präpariert und griff im Hintergrund seine lokalen Session-Token ab.
• Die Täter: Microsoft und Sophos schreiben den Angriff der nordkoreanischen Gruppe NICKEL GLADSTONE zu. Die Infrastruktur hinter der Malware passt eins zu eins zu früheren Kampagnen gegen Krypto- und Fintech-Unternehmen.

Das Ziel: Strategische Spionage

Hier ging es nicht um Vandalismus. Die Angreifer wollten Zugangsdaten abgreifen und sich tief in Netzwerken einnisten. Der Plan war:

1. Secrets abfischen: Automatisches Scannen nach .env-Dateien sowie AWS- und Google Cloud-Tokens auf Entwicklerrechnern.
2. Downstream-Infection: Schadcode direkt in die Build-Prozesse großer Tech-Konzerne schleusen, um deren Endkunden zu erreichen.
3. Persistence: Backdoors etablieren, die auch dann noch funktionieren, wenn das schädliche npm-Paket längst gelöscht wurde.

Die Technik: Die „Phantom“-Dependency

Der Trick: Um manuelle Code-Reviews zu umgehen, wurde am eigentlichen Axios-Code kein einziges Zeichen geändert. Stattdessen nutzten die Angreifer ein gestohlenes npm-Token, um direkt per CLI zu publizieren – vorbei an den Sicherheits-Checks auf GitHub.

Die Angreifer schmuggelten eine „Phantom“-Abhängigkeit namens plain-crypto-js in die package.json. Diese wurde im Code nie aufgerufen, aber beim npm install trotzdem automatisch mitinstalliert.

Der Angriff lief daraufhin in drei Phasen ab:

1. Der Hook: Ein postinstall-Script der versteckten Dependency prüfte das Betriebssystem des Opfers.
2. Die Payload: Je nach System (Windows, macOS oder Linux) wurde ein passender Trojaner nachgeladen – von PowerShell-Scripts bis hin zu Python-Backdoors.
3. Spurenbeseitigung: Unmittelbar nach der Infektion überschrieb die Malware die package.json wieder mit der sauberen Originalversion. Selbst beim Blick in die lokalen Dateien wirkte danach alles völlig normal.

Fazit

Der Axios-Vorfall ist ein schmerzhafter Beleg dafür, wie fragil unsere modernen Software-Lieferketten sind. Selbst Projekte mit höchstem Vertrauensstatus können innerhalb von Minuten kompromittiert werden, wenn die Distributionswege nicht lückenlos abgesichert sind. Für alle, die am 31. März 2026 ein npm install ausgeführt haben, bleibt die Devise: Sichergehen ist besser als Abwarten. Ein Audit der Build-Logs und das vorsorgliche Rotieren kritischer Secrets sind aktuell die einzig vernünftigen Schritte.