NERDMANHacker griffen Axios mit maßgeschneidertem Social Engineering an
Ein gezielter Supply-Chain-Angriff hat Axios getroffen — eine der meistgenutzten JavaScript-Bibliotheken der Welt. Ein Maintainer wurde persönlich manipuliert, Malware landete in einem offiziellen Release.
Was passiert ist
Das Axios-Team hat ein vollständiges Postmortem veröffentlicht. Die Angreifer haben nicht einfach blind Phishing-Mails verschickt. Sie haben einen einzelnen Maintainer gezielt ins Visier genommen — mit einer individuell zugeschnittenen Social-Engineering-Kampagne.
So lief der Angriff ab
📅 Timeline
- Schritt 1:** Angreifer identifizieren einen Axios-Maintainer als Ziel
- Schritt 2:** Individuell zugeschnittene Social-Engineering-Attacke startet
- Schritt 3:** Maintainer wird getäuscht, schädliche Dependency wird eingeschleust
- Schritt 4:** Malware landet in einem offiziellen Axios-Release
- Schritt 5:** Axios veröffentlicht Postmortem, Verbindung zu UNC1069 wird gezogen
Die Spur führt zu UNC1069
Laut Maintainer Jason Saayman folgt der Angriff exakt dem Muster, das Google in einer Analyse der Gruppe UNC1069 dokumentiert hat. Diese Gruppe zielt auf Krypto- und KI-Projekte — mit hochgradig personalisiertem Social Engineering. Kein Spray-and-Pray. Jeder Angriff ist Handarbeit.
💡 Was das bedeutet
Open-Source-Maintainer sind die Achillesferse der gesamten Software-Industrie. Axios wird millionenfach heruntergeladen. Ein kompromittierter Release trifft nicht ein Projekt — er trifft tausende. Und die Angreifer wissen das.
Zahlenbox
- Millionen** — wöchentliche npm-Downloads von Axios
- 1** — ein einzelner Maintainer reichte als Einfallstor
- UNC1069** — die Gruppe hinter der dokumentierten Angriffsmethode
Das eigentliche Problem
Firmen bauen Produkte auf Open-Source-Code, der von Einzelpersonen in ihrer Freizeit gepflegt wird. Diese Leute haben keinen Security-Perimeter, kein SOC-Team, keine Trainings gegen State-Level-Social-Engineering. Trotzdem hängt die halbe Industrie an ihrem `npm publish`.
