NERDMANHacker kapern Axios und verseuchen Millionen Projekte
Ein Angreifer hat das NPM-Konto des Axios-Maintainers übernommen. Über manipulierte Pakete wurde Malware an unzählige Entwickler verteilt.
Was passiert ist
Axios ist einer der meistgenutzten HTTP-Clients im JavaScript-Ökosystem. Eingebunden in Millionen von Projekten weltweit. Genau das macht ihn zum perfekten Ziel für einen Supply-Chain-Angriff.
Der oder die Angreifer haben den NPM-Account des Maintainers gekapert. Dann wurden kompromittierte Versionen des Pakets veröffentlicht — mit eingebauter Malware. Jeder, der ein `npm install` oder Update laufen ließ, holte sich den Schadcode direkt ins Projekt.
💡 Was das bedeutet
Supply-Chain-Angriffe sind die Pest der modernen Softwareentwicklung. Du vertraust einem Paket, das Paket vertraut seinem Maintainer, und wenn dessen Account fällt, fällt alles. Ein einziger kompromittierter Account reicht, um Schadcode in tausende Produktivsysteme zu schleusen.
Zahlenbox
- 72 Mio.+** — wöchentliche Downloads von Axios auf NPM
- 1** — ein einziger gekaperter Account reichte aus
- 0** — Sicherheitsmechanismen, die den Angriff verhindert haben
Pro/Con — NPM als Paketmanager
✅ Pro
- Riesiges Ökosystem, schnelle Integration
- Open Source, Community-getrieben
❌ Con
- Einzelne Maintainer als Single Point of Failure
- Keine verpflichtende 2FA für populäre Pakete
- Kein automatischer Code-Review bei neuen Releases
Kein KI-Problem, aber ein KI-Risiko
Axios selbst hat nichts mit KI zu tun. Aber der HTTP-Client steckt in unzähligen KI-Anwendungen, API-Wrappern und Agent-Frameworks. Wer seinen KI-Stack auf NPM-Paketen baut, erbt deren Sicherheitslücken mit. Jedes `axios.post()` an eine OpenAI-API hätte zum Datenabfluss werden können.
