NERDMANHacker kapern axios und schleusen Backdoor ein
Einer der meistgenutzten HTTP-Clients im JavaScript-Universum wurde zur Waffe. Angreifer haben den Maintainer-Account von axios auf npm kompromittiert und einen Remote-Access-Trojaner in das Paket geschmuggelt — für Windows, macOS und Linux gleichzeitig.
Was passiert ist
Das npm-Paket axios gehört zur Grundausstattung von Millionen Entwicklern weltweit. Über den gekaperten Account wurde eine manipulierte Version veröffentlicht, die eine Backdoor mitliefert. Wer das Update installiert hat, hat sich einen Trojaner auf den Rechner geholt.
Zahlenbox
- 3 Betriebssysteme** — Windows, macOS und Linux gleichzeitig betroffen
- Millionen Downloads** — axios gehört zu den populärsten npm-Paketen überhaupt
- 1 Account** — reichte aus, um die gesamte Supply Chain zu vergiften
So funktioniert der Angriff
- Schritt 1:** Angreifer übernehmen den Maintainer-Account auf npm
- Schritt 2:** Manipulierte Version von axios wird veröffentlicht
- Schritt 3:** Entwickler installieren das Update wie gewohnt per `npm install`
- Schritt 4:** Remote-Access-Trojaner nistet sich ein — auf allen Plattformen
Kein Exploit nötig. Kein Zero-Day. Einfach ein kompromittiertes Passwort — und Millionen Rechner stehen offen.
💡 Was das bedeutet
Supply-Chain-Angriffe sind die Pest der modernen Softwareentwicklung. Ein einziges gekapertes Paket reicht, um tausende Projekte zu infizieren. Und npm hat nach wie vor kein System, das solche Account-Übernahmen zuverlässig verhindert. Zwei-Faktor-Authentifizierung ist dort optional — bei einem Paket dieser Größe ein Witz.
Pro: Was npm richtig macht
- Manipulierte Versionen können zurückgezogen werden
- Community reagiert schnell auf Warnungen
Con: Was npm verbockt
- Keine verpflichtende 2FA für Top-Pakete
- Kein automatisches Code-Signing
- Keine Anomalie-Erkennung bei plötzlichen Änderungen
