FEHLER!

Einblick in den jüngsten Supply-Chain-Angriff: axios und die Schattenseiten der Open-Source-Welt

Die JavaScript-Community wurde erneut Opfer eines Supply-Chain-Angriffs, bei dem der HTTP-Client axios betroffen war. Hinter diesem Angriff, der am 30. März stattfand und bei dem Angreifer den Account des Maintainers von axios übernommen hatten, vermutet man die nordkoreanische Gruppe UNC1069. Eine schädliche Version (1.14.1) wurde auf npm veröffentlicht und enthielt eine versteckte Dependency namens plain-crypto-js@4.2.1. Dieser Trojaner würde im sogenannten postinstall-Hook ausgeführt, was bedeutet, dass er automatisch nach der Installation von axios aktiv wird. Der Hook startet ein Skript (setup.js), das je nach Betriebssystem unterschiedlich agiert: Windows (PowerShell-Skript), macOS (Mach-O-Binary) und Linux (Python-Backdoor). Zur Tarnung setzten die Angreifer verschiedene Schutzmechanismen ein; zum Beispiel manipuliert das Skript setup.js seinen eigenen Code zur Verhinderung von Detektion durch Tools. Zusätzlich wurde WAVESHAPER.V2 als Remote-Access-Trojaner eingesetzt, der Kontakt zu einem Command & Control (C2)-Server aufnimmt und Befehle empfängt. Diese reichen von der Ausführung weiterer Skripte oder Executables bis hin zur Abfrage von Informationen über Dateien und Verzeichnisse. Der Befehl codekill signalisiert das Ende der Ausführung. Die Verbindung zu den C2-Servern (IP-Adressen: 142.11.206.73 oder 23.254.167.216) dient als Indikator für einen Angriff. Aufgrund der Verbindung von WAVESHAPER.V2 zum ursprünglichen WAVESHAPER, dem UNC1069 zugeschrieben wird, vermutet Google Threat Intelligence die Beteiligung dieser Gruppe auch bei diesem axios-Angriff. Entwicklern wird dringend empfohlen, installierte Axios-Versionen auf 1.14.1 oder 0.30.4 zu überprüfen und automatische Systeme an feste Versionen zu binden, um zukünftige Manipulationen zu vermeiden. Dieser Vorfall betont die Bedeutung von Sicherheitsbewusstsein und Sorgfalt bei der Verwaltung von Open-Source-Bibliotheken.

Schlagwörter: UNC1069 + setup.js + JavaScript-Community

Wie bewerten Sie den Schreibstil des Artikels?
1 Star2 Stars3 Stars4 Stars5 Stars
  • 1. April 2026