NERDMANAxios gehackt: Ein Anruf reichte
Ein einzelner Maintainer, eine maßgeschneiderte Social-Engineering-Attacke — und schon landete Malware in einer offiziellen Axios-Release. Die JavaScript-Bibliothek, die Millionen Projekte nutzen, wurde über die Lieferkette kompromittiert.
Was passiert ist
Das Axios-Team hat ein vollständiges Postmortem veröffentlicht. Der Angriff folgte einem Muster, das Google bereits für Attacken auf Krypto- und KI-Ziele dokumentiert hat. Die Angreifer haben nicht blind Phishing-Mails gestreut. Sie haben einen einzelnen Maintainer identifiziert, studiert und gezielt manipuliert.
Die Angreifer ahmten exakt das Vorgehen nach, das Google für UNC1069 dokumentiert hat — maßgeschneidertes Social Engineering gegen einzelne Open-Source-Maintainer.— Jason Saayman, Axios-Team
So lief der Angriff ab
📅 Timeline
- Schritt 1:** Angreifer identifizieren einen Axios-Maintainer als Ziel
- Schritt 2:** Individuell zugeschnittene Social-Engineering-Kampagne startet
- Schritt 3:** Maintainer wird kompromittiert, Malware-Dependency eingeschleust
- Schritt 4:** Infiziertes Paket geht als offizielle Release raus
- Schritt 5:** Axios veröffentlicht Postmortem und bereinigt die Supply Chain
Was das bedeutet
Supply-Chain-Angriffe treffen nicht mehr nur kleine No-Name-Pakete. Axios hat über 60 Millionen wöchentliche npm-Downloads. Wenn ein einzelner Mensch reicht, um so ein Projekt zu kompromittieren, ist das gesamte Open-Source-Ökosystem nur so stark wie sein schwächstes Glied. Google warnt explizit: KI- und Krypto-Projekte stehen besonders im Fadenkreuz dieser Angreifergruppen.
✅ Pro
- Axios hat schnell reagiert und ein transparentes Postmortem geliefert
- Angriffsmuster ist jetzt dokumentiert und bekannt
❌ Con
- Ein einzelner Maintainer konnte die gesamte Supply Chain kompromittieren
- Millionen Projekte waren potenziell betroffen
- Kein technischer Schutz hat den Social-Engineering-Angriff verhindert
