Trojaner, Sicherheitsforscher

axios kompromittiert: 100-Millionen-Download-Paket verbreitet Trojaner

14.06.2026 - 16:34:44 | boerse-global.de

Sicherheitsforscher decken Manipulation des populären npm-Pakets auf. Nordkoreanische Gruppe soll hinter dem Angriff stecken.

Axios-Paket kompromittiert: Trojaner-Angriff auf Entwickler
Trojaner - A glowing red node in a complex digital network, symbolizing a compromised software package in a supply chain attack. 14.06.2026 - Bild: über boerse-global.de

Ein weit verbreitetes Programmierpaket wurde zur Schadsoftware-Falle – mit Folgen für die globale Tech-Branche.

Cybersicherheitsforscher haben einen schwerwiegenden Angriff auf die Lieferkette des populären npm-Pakets axios aufgedeckt. Das Tool, das wöchentlich rund 100 Millionen Mal heruntergeladen wird, wurde in bestimmten Versionen manipuliert, um einen Remote Access Trojan (RAT) zu verbreiten. Der Vorfall wirft ein Schlaglicht auf die Verwundbarkeit selbst der am weitesten verbreiteten Open-Source-Abhängigkeiten.

Kompromittierte Versionen und Schadsoftware im Detail

Anzeige: Wer die Lieferkette seines Unternehmens vor staatlich gesteuerten Trojanern schützen will, findet in diesem Report die wichtigsten Strategie-Hebel – von der Härtung der npm-Token bis zur Echtzeit-Erkennung bösartiger Abhängigkeiten. Jetzt kostenlosen Sicherheits-Report anfordern

Sicherheitsanalysten zufolge wurden die Versionen 1.14.1 und 0.30.4 von axios am 30. und 31. März 2026 kompromittiert. Die Angreifer nutzten einen langlebigen npm-Token eines Maintainers aus. Nachdem sie Zugriff erlangt hatten, schleusten sie eine bösartige Abhängigkeit namens plain-crypto-js in der Version 4.2.1 ein.

Diese Schadsoftware war darauf ausgelegt, einen Remote Access Trojan auf infizierten Systemen zu installieren. Zu ihren Fähigkeiten gehörten:

  • Ausführen von Shell-Befehlen
  • Auslesen von Umgebungsvariablen und sensiblen Geheimnissen
  • Einrichtung dauerhafter Persistenz auf dem Zielrechner

Sicherheitsmonitoring-Tools, insbesondere von Socket, erkannten das schadhafte Paket innerhalb von sechs Minuten nach seinem Erscheinen. Dennoch blieben die kompromittierten Versionen kurzzeitig verfügbar, bevor sie zurückgezogen wurden.

Sicherheitsexperten raten dringend: Jedes System oder jede Entwicklungsumgebung, in der diese spezifischen axios-Versionen installiert wurden, gilt als vollständig kompromittiert. Unternehmen sollten alle Zugangsdaten und Geheimnisse rotieren, die möglicherweise über Umgebungsvariablen offengelegt wurden. Die als sicher geltende Version ist 1.14.0.

Spur führt nach Nordkorea

Der CrowdStrike Threat Landscape Report 2026 führt die axios-Kompromittierung auf einen staatlich gesteuerten Akteur aus der Demokratischen Volksrepublik Korea (DVRK) zurück. Die verantwortliche Gruppe wird als STARDUST CHOLLIMA (auch bekannt als FAMOUS CHOLLIMA) identifiziert.

Diese Gruppierung ist besonders aktiv im Technologiesektor. Allein FAMOUS CHOLLIMA war für 47 Prozent der beobachteten staatlichen Aktivitäten in bestimmten überwachten Segmenten verantwortlich. Der axios-Vorfall gilt als Paradebeispiel dafür, wie Nation-State-Akteure zunehmend die Software-Lieferkette nutzen, um breiten Zugang zu Unternehmens- und Entwicklungsumgebungen zu erlangen.

Tech-Branche im Dauerfeuer

Der axios-Vorfall ist Teil eines größeren Trends: Die Technologiebranche bleibt weltweit das Hauptziel sowohl staatlicher als auch krimineller Akteure. Laut aktuellen Branchendaten sind:

  • China-nahe Akteure für mehr als 58 Prozent aller beobachteten staatlich gesteuerten Einbrüche verantwortlich
  • eCrime-Gruppen haben den Druck auf die Branche erhöht – 572 Technologieunternehmen tauchten innerhalb eines Jahres auf Datenleak-Seiten auf
  • Die Zahl der Initial Access Broker-Angebote mit Bezug zu Tech-Firmen stieg um rund 30 Prozent im Jahresvergleich

Anzeige: Entwicklerteams, die bereits kompromittierte axios-Versionen 1.14.1 oder 0.30.4 einsetzen, brauchen jetzt einen klaren Notfallplan – bevor Angreifer über den RAT persistente Hintertüren installieren. Dieser Leitfaden liefert konkrete Sofortmaßnahmen und eine Checkliste zur Wiederherstellung. Notfallplan jetzt sichern

Jüngste Angriffswelle auf Entwickler

Diese Lieferketten-Angriffe fallen mit weiteren hochkarätigen Vorfällen zusammen. Anfang Juni 2026 wurden im Rahmen der "Miasma"-Kampagne Hacker aktiv, die KI-Entwickler ins Visier nahmen. Zwischen dem 1. und 5. Juni injizierten sie Schadsoftware in 73 Microsoft GitHub-Repositories. Diese Angriffe zielten darauf ab, Anmeldedaten von Entwicklern zu stehlen, die Tools wie Claude Code und VS Code nutzten, sobald die Repositories geöffnet wurden. Die betroffenen Repositories wurden inzwischen wiederhergestellt.

Die Serie von Vorfällen unterstreicht eine Phase erhöhter Risiken für das globale Softwareentwicklungs-Ökosystem. Für Unternehmen und Entwickler gilt: Wachsamkeit und regelmäßige Sicherheitsüberprüfungen sind derzeit wichtiger denn je.

de | wissenschaft | 69539384 |