Die Entwicklungsgemeinschaft erwachte vor kurzem mit Nachrichten, dass eine der am häufigsten verwendeten Bibliotheken im JavaScript-Ökosystem in der Lieferkette manipuliert wurde. Der Hauptbetreuer des Pakets Axios, mit wöchentlichen Downloads um die Hunderte von Millionen, bestätigte er, dass sein Konto nach einer extrem gezielten Social Engineering-Kampagne beeinträchtigt wurde. Der Angriff, der den nordkoreanischen Akteuren als UNC1069 identifiziert wurde, war kein zufälliger Schlag: Es war eine geplante Operation, um Zugang zu einem Konto zu gewinnen, mit der Fähigkeit, Pakete zu veröffentlichen und von dort aus böswilligen Code zu verbreiten.
Nach der Rekonstruktion des Betreuers selbst, die Angreifer wurden echte Zahlen eines bekannten Unternehmens, Klon sowohl die visuelle Identität als auch die Online-Präsenz des Gründers Vertrauen zu erzeugen. Sie luden ihn zu einem Arbeitsraum in Slack ein, der in Sicht rechtmäßig schien: Aussehen, Kanäle und sogar Publikationen emulierten wahre Aktivität. Sie veranstalteten dann ein Treffen für Microsoft Teams. Während dieses Aufrufs erschien bei der Eingabe eine falsche Nachricht, die anzeigte, dass es eine veraltete Komponente gab und dass sie ein Update benötigte. Bei der Annahme dieser Operation wurde ein Remote-Access-Trojan ausgeführt, der dem Angreifer die Kontrolle über die Maschine gab und von dort die Möglichkeit, die Anmeldeinformationen zu stehlen, die erforderlich sind, um in npm zu veröffentlichen.
Mit diesen Anmeldeinformationen hochgeladenen die Gegner zwei kontaminierte Versionen des Axios-Pakets (1.14.1 und 0.30.4), das ein Implantat namens WAVESHAPER umfasste. V2. Das Ergebnis war, dass Tausende von Projekten, und durch Erweiterung Millionen von Anwendungen, könnte einem schädlichen Code einfach durch die Einbeziehung einer weit vertrauten Abhängigkeit ausgesetzt werden. Diese Art von Vorfall zeigt eine strukturelle Schwachstelle: Wenn eine solche zentrale Bibliothek im JavaScript-Ökosystem beeinträchtigt wird, erreicht die Auftrefffläche nicht nur direkte Abhängigkeiten, sondern auch volle Übergangsketten.
Die Details des Modus operandi stimmen mit der bisherigen Forschungs-Irideszenz auf UNC1069 und einer verwandten Gruppe namens BlueNoroff überein und haben Ähnlichkeiten mit einer Kampagne, die von Sicherheitsfirmen im letzten Jahr unter dem Namen GhostCall dokumentiert wird. Organisationen wie Kaspersky und Unterschrift Huntres haben dokumentiert, wie diese Akteure ausgefeilte Angriffe gegen einflussreiche Menschen in Kryptomonedas, Risikokapital und jetzt, mehr beunruhigend, auf Open Source Software-Betreuer gerichtet.
Der Fall von Axios zeigt, dass die Bedrohung nicht immer durch die technische Nutzung eines Servers kommt; oft ist der menschliche Faktor die schwächste Verbindung. Die Angreifer investieren in die Wiederherstellung eines normalen Aussehens: Sie schaffen Räume für die Zusammenarbeit mit entsprechenden Branding, teilen plausible Links und lehren Interaktionen, die den Verdacht des Opfers reduzieren. Diese Liebe zum Detail macht etwas so einfach wie eine Einladung zu Slack oder ein Anruf von Teams extrem effektiv.
In Anbetracht dessen hat der betroffene Betreuer mehrere Gegenmaßnahmen, die dazu beitragen können, ähnliche Risiken zu mindern: saubere und neu installieren kompromittierte Geräte, rotieren alle Anmeldeinformationen, verwenden Sie robustere Verlagsflüsse, die die Abhängigkeit von persistenten Anmeldeinformationen verringern und Praktiken in kontinuierlichen Integrationsmaßnahmen annehmen, die die Möglichkeit zur automatischen Veröffentlichung begrenzen. Auch Mechanismen wie unmutbare Starts und die Verwendung moderner Identitätsprotokolle (z.B. OIDC) wurden vorgeschlagen, Publikationen zu unterzeichnen und zu autorisieren, wodurch es für einen Angreifer schwierig ist, der ein Passwort stiehlt, Pakete im Namen eines anderen zu veröffentlichen.
Die praktische Wirkung ist nicht trivial. In den Worten von Ökosystemforschern zeigt diese Episode, wie kompliziert es ist, die Exposition in modernen JavaScript-Projekten zu verdanken, wo die Auflösung von Abhängigkeiten und die riesige Menge an wiederverwendbaren Paketen ein einziges engagiertes Stück kann Ketteneffekte verursachen. Über die spezifischen Korrekturen hinaus müssen die Community und die Plattformen, die sie unterstützen, die Konfidenzprozesse, das Kontomanagement mit Veröffentlichungsprivilegien und Tools umdenken, die die Integrität der Software schützen, die Millionen von Entwicklern und Endbenutzern täglich nutzen.
Für diejenigen, die Open Source-Projekte verwalten, ist das Lernen klar: Sicherheit muss als kontinuierlicher operativer Aspekt behandelt werden. Überprüfen Sie Zugriffsrichtlinien, minimieren Sie die Anzahl der erlaubten Geräte, verwenden Sie eine starke Multifaktor-Authentifizierung und implementieren Sie eine frühzeitige Erkennung von abnormalen Verhaltensweisen sind Schritte, die helfen, die Wahrscheinlichkeit und Auswirkungen eines Eindringens zu reduzieren. Darüber hinaus folgen Sie der Forschung und Analyse von spezialisierten Unterschriften, wie Werke veröffentlicht von Kaspersky, Huntres oder die Freilassungen der Paketplattformen selbst, bietet Kontext und praktische Empfehlungen zur Stärkung der Verteidigung.
Dieser Vorfall mit Axios ist kein Aufruf, Innovationen zu paralysieren oder das Vertrauen in freie Software zu reduzieren, sondern gemeinsam zu lernen: Die Software-Versorgungskette ist ein attraktives Ziel für ihre Effizienz, Schaden zu erhöhen, und um sie zu schützen, erfordert Koordinierung der besten technischen Praktiken, operativen Kontrollen und vor allem mehr Bewusstsein für die Social Engineering-Taktik, die jetzt immer professionelle Akteure nutzen.
Wenn Sie tiefer gehen möchten, die Projektseite in GitHub und die Registrierung des Pakets npm sind gute Ausgangspunkte, um Updates zu überprüfen. Um den Kontext der Kampagnen zu verstehen, die diesen Gruppen und ihren Techniken zugeschrieben werden, die Analyse von Forschungszentren und Cybersicherheitsunternehmen als Kaspersky und Huntres ausführliche Berichte und operationelle Empfehlungen.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...