NERDMANHacker vergiften Axios — 100 Millionen Projekte in Gefahr
Die npm-Bibliothek Axios wurde gekapert. Angreifer übernahmen den Account des Maintainers und schleusten Trojaner in das Paket — eines der meistgenutzten der gesamten JavaScript-Welt.
Was passiert ist
Unbekannte Hacker kompromittierten das npm-Konto hinter Axios, einem HTTP-Client mit über 100 Millionen Downloads pro Woche. Sie veröffentlichten manipulierte Versionen, die Remote-Access-Trojaner auf Linux, Windows und macOS installieren. Jeder `npm install` wurde zur Falle.
Zahlen des Schreckens
- 100 Mio.+** — wöchentliche Downloads von Axios
- 3 Plattformen** — Linux, Windows, macOS betroffen
- 1 Account** — reichte für den gesamten Angriff
So lief der Angriff
Die Hacker nutzten den klassischen Supply-Chain-Weg: Ein kompromittierter Maintainer-Account genügt, um bösartigen Code in ein vertrauenswürdiges Paket zu schieben. Entwickler weltweit ziehen sich Updates automatisch — niemand prüft jede neue Version von Hand. Der Trojaner landete direkt in der Build-Pipeline.
💡 Was das bedeutet
Axios steckt in Millionen von Projekten, von Startup-Apps bis Enterprise-Software. Wer in den letzten Tagen `npm install` oder `npm update` lief, könnte betroffen sein. Jedes Unternehmen mit Node.js-Stack sollte jetzt seine `package-lock.json` prüfen und betroffene Versionen sofort pinnen oder entfernen.
✅ Pro
- npm hat reagiert und die Pakete entfernt
- Sicherheitsforscher schlugen schnell Alarm
❌ Con
- Millionen Installationen liefen vor der Entdeckung
- npm bietet noch immer keinen verpflichtenden 2FA-Schutz für Top-Pakete
- Ein einzelner Account kann das halbe Internet gefährden
Das eigentliche Problem
Die JavaScript-Welt baut auf Vertrauen. Ein Paket, hundert Millionen Mal pro Woche geladen, hängt an einem einzigen npm-Login. Keine Code-Signierung, keine automatische Audit-Pflicht. Das ist kein Bug — das ist ein Designfehler des gesamten Ökosystems.
