Populärer HTTP-Client Axios kompromittiert

- 31. März 2026

Axios ist zur Verarbeitung von HTTP-Anfragen in unzählige Softwareprojekte eingebunden. Das NPM-Konto des Maintainers wurde gekapert, um Malware zu verbreiten.

Die jüngste Serie der Supply-Chain-Angriffe auf prominente Softwarepakete reißt nicht ab. Dieses Mal hat es die NPM-Pakete des enorm verbreiteten HTTP-Clients Axios erwischt. Das Tool erreichte zuletzt teils mehr als 100 Millionen Downloads pro Woche. Entwickler, die Axios in ihre Projekte eingebunden haben, sollten dringend ihre Betroffenheit prüfen und gegebenenfalls alle Zugangsdaten ändern.

Ein knapper Überblick über den Vorfall ist in einem Blogbeitrag der Sicherheitsforscher von Aikido zu finden. Demnach ist es einem Angreifer gelungen, den NPM-Account des Axios-Maintainers Jason Saayman zu kompromittieren und in der Nacht auf den 31. März zwei mit Schadcode verseuchte Versionen des Tools (1.14.1 und 0.30.4) zu veröffentlichen.

Beide Versionen wurden innerhalb von drei Stunden wieder aus der NPM-Datenbank entfernt. Wer eine davon installiert hat, etwa auf einem Entwicklersystem oder automatisiert in einer CI/CD-Pipeline, sollte das jeweilige System als kompromittiert betrachten und dringend entsprechende Maßnahmen einleiten. Nach Angaben der Forscher wurde über die genannten Axios-Versionen ein Trojaner verbreitet, der einen Fernzugriff auf infizierte Systeme ermöglicht.

Attacken auf Windows, Linux und MacOS

Die Aikido-Forscher liefern in ihrem Beitrag mehrere Befehle mit, anhand derer sich feststellen lässt, ob auf einem System eine der manipulierten Axios-Versionen geladen wurde und lokal Spuren des eingeschleusten Trojaners zu finden sind. Ist dies der Fall, so sollten alle auf dem jeweiligen System zugänglichen NPM-Token, AWS-Zugangsschlüssel, SSH-Keys und andere Anmeldedaten zügig rotiert werden. Zudem sollte davon ausgegangen werden, dass der Angreifer auch an andere vertrauliche Daten gelangt ist.

Weitere Details zu dem Supply-Chain-Angriff sind in umfangreicheren Blogbeiträgen von Stepsecurity und Socket zu finden. Demnach hat der Angreifer bei den verseuchten Axios-Versionen eine Abhängigkeit für das Paket “plain-crypto-js@4.2.0” hinzugefügt, das über ein Postinstall-Skript je nach erkanntem Betriebssystem anderen Schadcode nachlädt – sowohl für Windows als auch für Linux und MacOS.

Obwohl mehrere Supply-Chain-Attacken in den letzten Tagen auf den gleichen Cyberakteur namens TeamPCP zurückzuführen waren, gibt es bisher noch keine Hinweise darauf, dass der gleiche Akteur ebenfalls hinter dem Angriff auf Axios steckt. TeamPCP schleust auch in der Regel keinen Fernzugriffstrojaner ein, sondern konzentrierte sich bisher eher auf die Ausleitung von Anmeldedaten mit einem Infostealer.

Dieser Beitrag ist zuerst auf Golem.de erschienen.

IDC: Servermarkt wächst stark

Laut dem „Worldwide Quarterly Server Tracker“ des US-Marktforschers IDC erreichte der weltweite Servermarkt im ersten Quartal 2026 einen Herstellerumsatz von 122,6 Milliarden US-Dollar.

IT-Planungsrat legt Grundlagen für Deutschland-Stack fest

Der IT-Planungsrat berichtet über zentrale Beschlüsse seiner 50. Sitzung zur Weiterentwicklung des Deutschland-Stacks. Quelle: FITKO

Der IT-Planungsrat berichtet über zentrale Beschlüsse seiner 50. Sitzung zur Weiterentwicklung des Deutschland-Stacks. Bund und Länder haben sich dabei auf wesentliche Elemente des geplanten digitalen Ökosystems für die öffentliche Verwaltung verständigt.