NERDMANHacker vergiften axios mit Teams-Trick
Ein Fake-Update für Microsoft Teams. Ein Klick zu viel. Und schon steckt Schadcode in einem der meistgenutzten npm-Pakete der Welt: axios, der HTTP-Client, den Millionen Entwickler täglich einbinden.
Was passiert ist
Der axios-Maintainer hat selbst öffentlich gemacht, wie er reingelegt wurde. Cyberkriminelle schickten ihm ein gefälschtes Microsoft-Teams-Update — täuschend echt. Er installierte es, die Angreifer hatten Zugriff auf seine Accounts. Sie schleusten Schadcode direkt in axios ein.
Warum axios so gefährlich ist
- 78 Mio.** — wöchentliche Downloads auf npm
- Top 10** — der meistgenutzten JavaScript-Bibliotheken weltweit
- 1 Person** — reichte als Einfallstor für die gesamte Supply Chain
Die Masche im Detail
- Schritt 1:** Fake-Teams-Update per Nachricht an den Maintainer
- Schritt 2:** Malware übernimmt Session-Tokens und Zugänge
- Schritt 3:** Schadcode wird in offizielle axios-Releases eingeschleust
- Schritt 4:** Millionen Projekte ziehen das vergiftete Paket automatisch
💡 Was das bedeutet
Das ist kein theoretisches Szenario — das ist passiert. Und es passiert gerade weiteren Maintainern. Open-Source-Projekte, auf denen die halbe Wirtschaft läuft, hängen oft an einzelnen Personen. Ein Social-Engineering-Angriff auf diese eine Person reicht, um Schadcode in Tausende Unternehmen zu drücken. Kein Zero-Day nötig, kein aufwendiger Exploit — nur ein überzeugendes Fake-Update.
✅ Pro
- Maintainer hat den Vorfall transparent gemacht
- Community kann daraus lernen
❌ Con
- Ein einzelner Maintainer = Single Point of Failure
- npm hat keine wirksame Verteidigung gegen kompromittierte Accounts
- Ähnliche Angriffe laufen parallel auf andere Maintainer
