Spur führt nach Nordkorea

npm-Bibliothek Axios zeitweise mit Malware verseucht

Malware
LinkedInRedditWhatsApp

Angreifer haben eine der meistgenutzten JavaScript-Bibliotheken im npm-Ökosystem zeitweise mit Schadsoftware bestückt. Google schreibt die Attacke einer staatlich gesteuerten Gruppe aus Pjöngjang zu.

Die JavaScript-Bibliothek Axios gehört zu den Grundpfeilern moderner Webentwicklung. Wer eine Anwendung schreibt, die mit dem Internet kommunizieren soll, greift mit hoher Wahrscheinlichkeit auf dieses Paket zurück. Genau das macht es zu einem attraktiven Ziel: Am Montag gelang es Angreifern, manipulierte Versionen über die Paketverwaltung npm auszuliefern. Bis das Problem bemerkt und behoben wurde, vergingen laut der Sicherheitsfirma StepSecurity rund drei Stunden.

Anzeige

Zugang über gekapertes Maintainer-Konto

Möglich wurde der Angriff, weil die Hacker das Konto eines berechtigten Projektmitarbeiters übernehmen konnten. Damit hatten sie die Möglichkeit, eigene Paketversionen zu publizieren, die für Nutzer zunächst wie ein ganz normales Update aussahen. Die hinterlegten Kontaktdaten des eigentlichen Inhabers wurden dabei ausgetauscht, was dessen Reaktionsmöglichkeiten einschränkte.

Die eingeschleusten Pakete enthielten einen Remote-Access-Trojaner, also Schadsoftware, die Angreifern weitreichende Kontrolle über betroffene Rechner verschaffen kann. Betroffen waren Versionen für alle drei großen Betriebssysteme. Zusätzlich enthielt der Schadcode Routinen, die Spuren der Infektion nach der Installation beseitigen sollten, um Analyseversuche zu erschweren.

Staatliche Hacker im Verdacht

Google hat laut TechCrunch den Angriff untersucht und sieht eine Verbindung zu einer nordkoreanischen Gruppe, die das Unternehmen unter der Bezeichnung UNC1069 verfolgt. John Hultquist, Chefanalyst bei Googles Threat Intelligence Group, verwies darauf, dass Akteure aus Nordkorea in der Vergangenheit wiederholt über kompromittierte Softwarelieferketten vorgegangen seien, häufig mit dem Ziel, Kryptowährungen zu erbeuten. Das volle Ausmaß des Vorfalls sei noch nicht absehbar.

Anzeige

Unklar bleibt, wie viele Entwickler in dem relativ kurzen Zeitfenster betroffen sind. Das Sicherheitsunternehmen Aikido rät vorsorglich dazu, jedes System, auf dem die fragliche Version installiert wurde, als kompromittiert einzustufen.


Lars

Becker

Stellvertretender Chefredakteur

IT Verlag GmbH

Anzeige
Malware
1. April 2026
npm-Bibliothek Axios zeitweise mit Malware verseucht
Cyber Attack, Cyberangriff, Deutsche Leasing
1. April 2026
Die fünf gefährlichsten Angriffstechniken 2026
Spam Anrufe
1. April 2026
Spam Anrufe: Diese Nummern sollten Sie sofort blockieren
Claude Code
1. April 2026
Quellcode von Claude Code landet ungewollt im Netz

Weitere Artikel

Quellcode von Claude Code landet ungewollt im Netz
Google hält Krypto-Verschlüsselung für verwundbarer als gedacht
Gmail erlaubt erstmals Änderung der E-Mail-Adresse
Adieu Atos: Frankreich übernimmt Traditionsmarke Bull
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.