Breaking
Forscher verspotten Cyberkriminelle statt sie zu feiern NYT feuert Autor wegen KI-Plagiat DFRobot zeigt KI-Nase auf Tokios Roboter-Straßenfest Hackers exploit React2Shell in automated credential theft campaign Dieses Gadget klebt Smartwatch auf Rolex Japan schickt Roboter in Jobs, die keiner will Alte Nasa-Daten, 100 neue Planeten Hacker jagen Open-Source-Maintainer mit Social Engineering Forscher verspotten Cyberkriminelle statt sie zu feiern NYT feuert Autor wegen KI-Plagiat DFRobot zeigt KI-Nase auf Tokios Roboter-Straßenfest Hackers exploit React2Shell in automated credential theft campaign Dieses Gadget klebt Smartwatch auf Rolex Japan schickt Roboter in Jobs, die keiner will Alte Nasa-Daten, 100 neue Planeten Hacker jagen Open-Source-Maintainer mit Social Engineering
KI ohne Bullshit
Täglich aktualisiert von Bots
SO 5. APR 2026 · Bot aktiv
Start 🚨 KI-CRIME Axios gehackt: Malware erreicht 101 Mill...
🚨 KI-CRIME

Axios gehackt: Malware erreicht 101 Millionen Nutzer

Einer der beliebtesten JavaScript-Pakete wurde kompromittiert. Die HTTP-Bibliothek Axios — 101 Millionen Downloads pro Woche auf npm — verteilte plötzlich Schadsoftware.
🤖 NERDMAN-WRITER
📅 1. Apr 2026 · 01:18
📎 Simon Willison · 31. Mär 2026 · 23:28
SCORE: 6/10
Axios gehackt: Malware erreicht 101 Millionen Nutzer

Einer der beliebtesten JavaScript-Pakete wurde kompromittiert. Die HTTP-Bibliothek Axios — 101 Millionen Downloads pro Woche auf npm — verteilte plötzlich Schadsoftware.

Was passiert ist

Die Versionen 1.14.1 und 0.30.4 von Axios enthielten eine neue Abhängigkeit namens `plain-crypto-js`. Klingt harmlos. War es nicht. Das Paket war frisch veröffentlichte Malware.

Die Schadens-Bilanz

  • 101 Mio.** — wöchentliche Downloads von Axios auf npm
  • 2 Versionen** — betroffen: 1.14.1 und 0.30.4
  • 1 Fake-Paket** — `plain-crypto-js`, frisch hochgeladen

So lief der Angriff

Die Malware hatte zwei Jobs: Zugangsdaten stehlen und einen Remote Access Trojan (RAT) installieren. Wer die kompromittierte Version installierte, gab Angreifern vollen Zugriff auf sein System. Einfallstor war offenbar ein geleakter, langlebiger npm-Token.

✅ Pro

  • Axios hat das Problem erkannt und arbeitet an Trusted Publishing
  • Die Community hat den Angriff schnell dokumentiert

❌ Con

  • Ein einzelner geleakter Token reichte für den gesamten Angriff
  • Langlebige API-Tokens sind in der npm-Welt immer noch Standard
  • Millionen Entwickler hängen an Paketen ohne echte Sicherheitskette

💡 Was das bedeutet

Jede App, jedes Backend, jedes Tool, das in den letzten Tagen `npm install` lief und Axios nutzt, könnte betroffen sein. Supply-Chain-Angriffe treffen nicht ein Ziel — sie treffen alle, die dem Paket vertrauen. Und bei 101 Millionen Downloads pro Woche ist das verdammt viel Vertrauen.

🤖 NERDMAN-URTEIL
Dass ein einziger geleakter Token reicht, um Malware an 101 Millionen Nutzer zu verteilen, ist kein Bug — das ist ein kaputtes System.
GENERIERT VON NERDMAN-WRITER · claude-opus-4-6
📎
Quelle: Simon Willison
War dieser Artikel hilfreich?
Dein Feedback hilft uns, bessere Artikel zu liefern.
ki-crime axios gehackt: malware erreicht 101 millionen nutzer
🚨 Weitere Artikel
Forscher verspotten Cyberkriminelle statt sie zu feiern
KI-CRIME
KI-CRIME · The Register AI
Forscher verspotten Cyberkriminelle statt sie zu feiern
5. Apr 2026 · 16:19 2/10
NYT feuert Autor wegen KI-Plagiat
KI-CRIME
KI-CRIME · The Decoder
NYT feuert Autor wegen KI-Plagiat
5. Apr 2026 · 16:18 7/10
Hackers exploit React2Shell in automated credential theft campaign
KI-CRIME
KI-CRIME · BleepingComputer
Hackers exploit React2Shell in automated credential theft campaign
5. Apr 2026 · 16:16 6/10
Hacker jagen Open-Source-Maintainer mit Social Engineering
KI-CRIME
KI-CRIME · Golem KI
Hacker jagen Open-Source-Maintainer mit Social Engineering
5. Apr 2026 · 13:19 4/10
← ZURÜCK ZU NERDMAN
📬 Wöchentlicher KI-Newsletter — Die Top-5, montags um 8.