NERDMANAxios gehackt: Trojaner in 100 Millionen Downloads
Das npm-Paket Axios — eine der meistgenutzten HTTP-Libraries der Welt — hat kurzzeitig Malware an Entwickler verteilt. Angreifer kaperten den Account eines Maintainers und schmuggelten einen Remote-Access-Trojaner in zwei offizielle Releases.
Was passiert ist
Die Attacke lief nach dem klassischen Supply-Chain-Playbook: Maintainer-Account übernehmen, bösartigen Code in ein legitimes Update packen, warten. Weil Axios rund 100 Millionen Downloads pro Woche zählt, traf es potenziell eine gigantische Angriffsfläche. Der eingeschleuste RAT funktioniert plattformübergreifend — Windows, Mac, Linux, alles betroffen.
Zahlenbox
- 100 Mio./Woche** — Downloads des Axios-Pakets auf npm
- 2 Releases** — waren mit dem Trojaner verseucht
- 3 Plattformen** — Windows, macOS, Linux betroffen
- 1 Account** — reichte für die gesamte Kompromittierung
Warum das so gefährlich ist
Ein RAT gibt Angreifern vollen Zugriff auf die Maschine. Bei Entwicklern heißt das: Zugang zu SSH-Keys, Cloud-Credentials, internen Repos, CI/CD-Pipelines. Ein kompromittierter Dev-Rechner ist kein Endpunkt — er ist ein Startpunkt.
Pro (für die Angreifer)
- Ein einziger Account hebelt das Vertrauen von Millionen Projekten aus
- Automatische Updates ziehen die Malware ohne manuelles Zutun
- Dev-Maschinen sind oft schlechter überwacht als Produktionsserver
Con (für die Branche)
- npm hat nach wie vor kein verpflichtendes 2FA für Top-Pakete
- Die meisten Teams prüfen Dependency-Updates nicht manuell
- Lockfiles schützen nur, wenn sie auch wirklich genutzt werden
💡 Was das bedeutet
Jedes Projekt, das Axios nutzt und in den betroffenen Zeitraum ein Update gezogen hat, muss seine Systeme prüfen. Das betrifft nicht nur kleine Hobby-Projekte — Axios steckt in Enterprise-Software, SaaS-Plattformen und kritischer Infrastruktur. Wer `npm audit` noch nicht in seiner Pipeline hat, spielt russisches Roulette.
