Axios NPM Supply Chain Kompromittierung
ID: 2248371
(PresseBox) - Am 30. März 2026 wurde das weit verbreitete NPM-Paket axios durch nordkoreanische Angreifer kompromittiert. Über einen übernommenen Maintainer-Account veröffentlichten sie zwei manipulierte Versionen, die den Remote-Access-Trojaner „WAVESHAPER.V2“ für Windows, macOS und Linux enthielten.
Enginsight nutzt das Paket ebenfalls, hatte die spezifische, kompromittierte Version (1.14.1) aber nicht installiert und ist somit nicht betroffen!
Betroffene Versionen und Sicherheitskennungen
Zwei manipulierte axios-Versionen wurden über den kompromittierten Account veröffentlicht, beide mit einer neuen bösartigen Abhängigkeit plain-crypto-js:
Sichere Versionen: axios@1.14.0 (letztes legitimes 1.x-Release) und axios@0.30.3 (letztes legitimes 0.x-Release). Weitere betroffene Pakete im Ökosystem: @shadanai/openclaw (mehrere Versionen) und @qqbrowser/openclaw-qbot@0.0.130, die den manipulierten axios transitiv auslieferten.
Ablauf des Angriffs
Die Angriffskette begann mit der Vorbereitung einer bösartigen Abhängigkeit. Der Angreifer veröffentlichte zunächst das Paket plain-crypto-js als nahezu identischen Klon von crypto-js, um Vertrauen aufzubauen und eine unauffällige Historie in der npm-Registry zu erzeugen. Wenige Stunden später folgte eine neue Version, die ein manipuliertes postinstall-Skript enthielt.
Anschließend wurden zwei scheinbar legitime axios-Versionen veröffentlicht. Der einzige Unterschied bestand darin, dass sie die präparierte Abhängigkeit plain-crypto-js einbanden. Der eigentliche Schadcode befand sich somit nicht direkt in axios, sondern versteckt in dieser transitiven Abhängigkeit.
Beim Ausführen von npm install wurde automatisch das bösartige postinstall-Skript gestartet. Dieses war stark verschleiert, entschlüsselte sich zur Laufzeit und lud benötigte Systemfunktionen dynamisch nach. Danach identifizierte es das Betriebssystem und nahm Kontakt zu einem Command-&-Control-Server auf.
Im nächsten Schritt wurde je nach Plattform ein passender Remote-Access-Trojaner nachgeladen und ausgeführt. Dabei nutzte der Angreifer Tarntechniken, etwa unauffällige Domainnamen, um die Kommunikation weniger verdächtig erscheinen zu lassen.
Abschließend führte die Malware Anti-Forensik-Maßnahmen durch. Dabei löschte das Installationsskript sich selbst und manipulierte Dateien so, dass die Installation wie eine harmlose Version wirkte. Sicherheitsprüfungen wie npm audit schlugen daher nicht an. Der einzige verbleibende Hinweis auf eine Kompromittierung war das Vorhandensein des verdächtigen Pakets im node_modules-Verzeichnis.
Indicators of Compromise
Malicious npm Packages
axios@1.14.1 · shasum: 2553649f2322049666871cea80a5d0d6adc700ca
axios@0.30.4 · shasum: d6f3f62fd3b9f5432f5782b62d8cfd5247d5ee71
plain-crypto-js@4.2.1 · shasum: 07d889e2dadce6f3910dcbc253317d28ca61c766
Network Indicators
C2 domain · sfrclak.com
C2 IP · 142.11.206.73
C2 URL · http://sfrclak.com:8000/6202033
C2 POST body (macOS) · packages.npm.org/product0
C2 POST body (Windows) · packages.npm.org/product1
C2 POST body (Linux) · packages.npm.org/product2
File System Indicators
macOS · /Library/Caches/com.apple.act.mond
Windows (persistent) · %PROGRAMDATA%wt.exe
Windows (temp, self-deletes) · %TEMP%6202033.vbs
Windows (temp, self-deletes) · %TEMP%6202033.ps1
Linux · /tmp/ld.py
Attacker-Controlled Accounts
jasonsaayman · compromised legitimate axios maintainer, email changed to ifstap@proton.me
nrwise · attacker-created account, nrwise@proton.me, published plain-crypto-js
Quelle: https://www.stepsecurity.io/blog/axios-compromised-on-npm-malicious-versions-drop-remote-access-trojan#indicators-of-compromise
Erkennung durch Enginsight SIEM
Die Streams wurden anhand der unten aufgeführten Quellen erarbeitet. Da das Paket nicht mehr zur Verfügung steht, konnten bisher keine Tests durchgeführt werden.
Kill Chain Windows:
Der Entwickler hat auf axios@1.14.1 aktualisiert, wodurch automatisch der postinstall- Hook, über das Paket plain-crypto-js ausgeführt wird. Dadurch erzeugt node eine cmd.exe oder cscript.exe als Kindprozess
sysmon.EventID:"1" AND sysmon.ParentImage_str:"node" AND (sysmon.Image_str:"cmd.exe" OR sysmon.Image_str:"cscript.exe")
Es wird eine Verbindung zum C2 Server aufgebaut (siehe Indicators of Compromise) sysmon.EventID:"3" AND gen.dest.ip_str: "142.11.206.73" AND (gen.dest.port:"8000" OR gen.dest.port:"3000")
Es wird eine unbenannte Powershell-Kopie wt.exe und eine versteckte Batch Datei system.bat (als Fallback Loader) in %PROGRAMDATA% abgelegt. %PROGRAMDATA% erfordert keine Admin-Rechte und wird von vielen AV-Lösungen weniger restriktiv behandelt.
sysmon.EventID:"11" AND sysmon.TargetFilename_str:in("C:ProgramDatawt.exe", "C:ProgramDatasystem.bat")
Als letzten Schritt schreibt der Dropper den Registry-Eintrag HKCUSoftwareMicrosoftWindowsCurrentVersionRunMicrosoftUpdate mit dem Wert %PROGRAMDATA%system.bat Damit wird sichergestellt, dass system.bat bei jedem Login des aktuellen Benutzers automatisch ausgeführt wird
sysmon.EventID:"13" AND sysmon.TargetObject_str: "CurrentVersionRunMicrosoftUpdate"
Quellen:
https://gist.github.com/N3mes1s/0c0fc7a0c23cdb5e1c8f66b208053ed6
https://www.elastic.co/security-labs/axios-one-rat-to-rule-them-all
Weitere Infos zu dieser Pressemeldung:
Unternehmensinformation / Kurzprofil:
Datum: 30.04.2026 - 13:41 Uhr
Sprache: Deutsch
News-ID 2248371
Anzahl Zeichen: 6536
Kontakt-Informationen:
Ansprechpartner: Sabine Kuch
Stadt:
Jena
Kategorie:
Softwareindustrie
Diese Pressemitteilung wurde bisher 280 mal aufgerufen.
Die Pressemitteilung mit dem Titel:
"Axios NPM Supply Chain Kompromittierung"
steht unter der journalistisch-redaktionellen Verantwortung von
Enginsight GmbH (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).
Enginsight, deutscher Anbieter einer ganzheitlichen Cybersecurity-Plattform, präsentiert auf der Public IT Security Conference (PITS) vom 16. und 17. Juni 2016 in Berlin, Hotel Adlon, Lösungen für die besonderen Anforderungen von Behörden und kommunalen Einrichtungen. Die PITS gilt als führende
Enginsight auf der ALSO Channel Trends+Visions 2026 - MDR und digitale Souveränität als zentrale Themen für den IT Channel ...
Am 29. Mai 2026 findet die Channel Trends+Visions (CTV) im Confex in Köln statt. Unter dem Motto „Next Generation“ richtet ALSO seine zentrale Hausmesse auf aktuelle Entwicklungen in den Bereichen Cybersecurity, Künstliche Intelligenz (KI) und Internet of Things (IoT) aus. Ziel der Veranstaltu
Enginsight und IONOS: Starkes Signal für digitale Souveränität in Europa ...
IONOS, Europas führender Digitalisierungspartner und zuverlässiger Cloud-Enabler, und der deutsche Spezialist für automatisiertes IT-Monitoring und Cybersicherheit, Enginsight, wollen die kritische Infrastruktur in Deutschland und Europa nachhaltig stärken. Gemeinsam stellen die beiden Unternehm
Weitere Mitteilungen von Enginsight GmbH
News Unternehmen INFOSERVE, die eurodata Tochter: Backup- und Recovery-Lösungen ...
INFOSERVE bietet Unternehmen umfassende Lösungen zum Schutz vor digitalen Bedrohungen und Datenverlust. Das Saarbrücker Systemhaus verfolgt ein ganzheitliches Sicherheitskonzept, das weit über klassische Maßnahmen wie Firewalls und Virenschutz hinausgeht. Dazu gehören automatisierte Schwachst
Sorgenfrei Vermieten startet: Digitale Plattform erleichtert Mietverwaltung für private Vermieter ...
Mit Sorgenfrei Vermieten geht eine neue digitale Lösung an den Start, die speziell auf die Bedürfnisse privater Vermieter zugeschnitten ist. Ziel der Plattform ist es, die Verwaltung von Immobilien deutlich zu vereinfachen und alltägliche Aufgaben effizient an einem Ort zu bündeln. Viele private
ONEKEY ermöglicht fortlaufende Firmware-Überwachung ...
Cyber Resilience Act: Tägliches Firmware-Monitoring wird zum Schlüssel für kontinuierliche Produktsicherheit Ein zentrales Element bei der Umsetzung des Cyber Resilience Act (CRA) betrifft die Fähigkeit von Herstellern, Sicherheitsrisiken nicht nur während der Entwicklung, sondern auch nach de
Sicherheit im Recruiting: Validato optimiert die Bewerberüberprüfung durch teil-automatisierte, DSGVO-konforme Background Checks für Unternehmen ...
In Zeiten des Fachkräftemangels und globaler Recruiting-Prozesse steigen die Anforderungen an die Integritätsprüfung neuer Mitarbeiter massiv an. Die Plattform validato.com bietet hierfür eine technologisch führende Lösung, die den administrativen Aufwand im Human Risk Management drastisch red
