Der Axios-Vorfall: Der „nukleare“ Supply-Chain-Angriff auf npm

Was wirklich passiert ist und was du JETZT tun musst!

Hallo liebe Leserinnen und Leser der Familienfabrik,
gestern ist etwas passiert, das Entwickler weltweit schockiert hat. Ein einzelner, extrem professioneller Angriff auf eine der meistgenutzten JavaScript-Bibliotheken der Welt: Axios.

Der YouTuber Mutahar von SomeOrdinaryGamers hat das Ganze treffend „Nuclear Grade Cyberattack“ genannt, und nach ein paar Stunden Recherche kann ich sagen: er hat recht. Axios wird über 100 Millionen Mal pro Woche heruntergeladen und ist in unzähligen Web-Apps, Backend-Services und CI/CD-Pipelines verbaut.

Ich habe das Video genau analysiert und zusätzlich alle aktuellen Berichte von StepSecurity, Google Threat Intelligence, Elastic Security Labs, Snyk, The Hacker News und vielen mehr ausgewertet. Hier ist die komplette, klare Übersicht … ohne Panikmache, aber mit allen Fakten und konkreten Handlungsempfehlungen.

Was ist Axios eigentlich?

Axios ist die beliebteste Bibliothek, um HTTP-Requests in JavaScript (Node.js und Browser) zu machen. Einfach, zuverlässig, wird von fast jedem großen und kleinen Projekt genutzt. Genau deshalb war es das perfekte Ziel für einen Supply-Chain-Angriff.

Der genaue Ablauf des Angriffs (Timeline)

• 30. März 2026: Der Angreifer legt eine „harmlose“ Version des Fake-Pakets plain-crypto-js@4.2.0 an (um Vertrauen aufzubauen).
• 31. März 2026, ca. 00:21 UTC: Der Angreifer übernimmt das npm-Konto des Haupt-Maintainers Jason Saayman (jasonsaayman). Er ändert die hinterlegte E-Mail-Adresse auf ifstap@proton.me (sein eigener ProtonMail-Account) und sperrt damit den echten Besitzer aus.
• 00:21 UTC: Veröffentlichung der bösartigen Version axios@1.14.1 (tagged als latest).
• 01:00 UTC: Veröffentlichung der bösartigen Version axios@0.30.4 (legacy-Branch).
• Beide Versionen sehen auf den ersten Blick identisch mit den echten aus – außer einer einzigen Zeile in der package.json:

"dependencies": {
  "plain-crypto-js": "^4.2.1"
}

• Dieses Paket wird nirgendwo im Axios-Code importiert, es dient nur dazu, beim npm install ein Post-Install-Skript auszuführen.
• Bis ca. 03:20–03:29 UTC: Die bösartigen Versionen sind live (ca. 2–3 Stunden). Dann werden sie von npm entfernt.

Der Angriff war so präzise, dass er beide Release-Zweige (1.x und 0.x) gleichzeitig traf.

Was macht die Malware genau?

Das Paket plain-crypto-js@4.2.1 ist ein Dropper für einen Cross-Platform Remote Access Trojan (RAT) namens WAVESHAPER.V2 .

Je nach Betriebssystem passiert Folgendes:

• Windows: PowerShell-Skripte, die auch nach Neustart überleben
• macOS / Linux: Python-Skripte via curl, Anti-Forensik-Tricks
• Sammelt: Dateien aus Dokumenten, Desktop, OneDrive, AppData, System-Infos, SSH-Keys, npm-Tokens, Cloud-API-Keys etc.
• Verbindet sich mit einem C2-Server (z. B. 142.11.206.73)
• Schickt alles ab und löscht sich selbst – klassische „hit-and-run“-Taktik

Ziel: Entwickler-Maschinen, weil diese die wertvollsten Credentials haben.

Bist du betroffen?

Ja, wenn…
Dein Projekt in der Zeit zwischen ca. 00:21 und 03:29 UTC (31. März 2026) ein npm install (oder yarn install, bun install etc.) ausgeführt hat und dabei axios@1.14.1 oder axios@0.30.4 gezogen wurde.
In deiner package-lock.json / yarn.lock / bun.lock steht eine dieser Versionen oder plain-crypto-js.

Sofort-Check (Terminal):

# Suche in lockfiles
grep -r "1.14.1" package-lock.json yarn.lock bun.lock 2>/dev/null
grep -r "0.30.4" package-lock.json yarn.lock bun.lock 2>/dev/null
grep -r "plain-crypto-js" node_modules/ 2>/dev/null

Falls gefunden → Maschine als kompromittiert betrachten!

Was du JETZT tun musst (Schritt-für-Schritt)

1. Alle betroffenen Systeme isolieren (CI/CD, Entwickler-Laptops, Server).
2. Alle Secrets rotieren (npm tokens, GitHub Tokens, Cloud-Keys, SSH-Keys, Datenbank-Passwörter etc.).
3. Axios auf sichere Version downgraden:
   – 1.14.0 oder
   – 0.30.3 und npm install mit –ignore-scripts oder über lockfile erzwingen.
4. Vollständigen Malware-Scan (z. B. mit CrowdStrike, SentinelOne, Malwarebytes oder open-source Tools).
5. Lockfiles strikt verwenden und npm audit + Dependency-Review aktivieren.

Prävention für die Zukunft (meine Top-Tipps)

• Immer package-lock.json (oder Äquivalent) committen und strikt nutzen.
• npm install nie ohne Review neuer Major/Patch-Versionen laufen lassen.
• npm ci in CI/CD statt npm install verwenden.
• Tools wie StepSecurity, Snyk, Socket.dev oder Dependabot mit Security-Checks einsetzen.
• Maintainer-Accounts mit 2FA + Hardware-Keys + least-privilege schützen.
• „Vibe Coding“ mit AI vermeiden (die pullen oft ungetestete Dependencies)

Fazit

Dieser Angriff zeigt wieder einmal: Open Source ist nur so sicher wie die schwächste Maintainer-Account. Ein einziger gehackter npm-Account und Millionen von Entwicklern sind plötzlich Zielscheibe.

Der Axios-Vorfall ist einer der saubersten und gefährlichsten Supply-Chain-Angriffe der letzten Jahre. Zum Glück wurde er extrem schnell entdeckt und gestoppt – aber die Fenster war groß genug, um echte Schäden anzurichten.

Bleibt wachsam, rotiert eure Keys und teilt diesen Beitrag gerne mit euren Entwickler-Kollegen.

Hast du den Angriff bei dir entdeckt? Schreib es gerne in die Kommentare.

Quellen & Weiterlesen (alle vom 31. März / 1. April 2026):

• Original-Video: SomeOrdinaryGamers – A Nuclear Grade Cyberattack Just Happened…
• StepSecurity Technical Deep Dive
• Google Threat Intelligence Group
• Elastic Security Labs, Snyk, The Hacker News, BleepingComputer u. v. m.

Bleibt sicher!
Bussdee / Papa BausL

Über den Autor

Papa BausL

Administrator

Der Papa der Familie BausL ... und auch irgendwie von der Website.

Besuchen Sie die Website Alle Beiträge anzeigen