Die Axios-Bibliothek wurde über einen Supply-Chain-Angriff kompromittiert; Angreifer stahlen npm-Tokens und injizierten Malware, betroffen sind etwa 80% der Cloud-Umgebungen.

Gate News Nachricht, am 2. April wurde die beliebteste HTTP-Client-Bibliothek von JavaScript, Axios, Opfer eines Supply-Chain-Angriffs. Angreifer stahlen das npm-Zugriffstoken des leitenden Maintainers von Axios und nutzten dieses Token, um zwei bösartige Versionen zu veröffentlichen, die plattformübergreifende Remote-Access-Trojaner (RATs) enthalten (axios@1.14.1 und axios@0.30.4), mit dem Ziel, macOS-, Windows- und Linux-Systeme abzudecken. Die bösartigen Pakete blieben etwa 3 Stunden in der npm-Registrierung, bevor sie entfernt wurden. Laut den Daten der Sicherheitsfirma Wiz werden Axios mehr als 100 Millionen Mal pro Woche heruntergeladen und ist in etwa 80% der Cloud- und Code-Umgebungen vorhanden. Die Sicherheitsfirma Huntress erkannte nach 89 Sekunden, nachdem die bösartigen Pakete online gingen, die ersten Infektionen und bestätigte während des Expositionsfensters mindestens 135 kompromittierte Systeme. Bemerkenswert ist, dass das Axios-Projekt zuvor moderne Sicherheitsmaßnahmen wie ein OIDC-Vertrauensveröffentlichungsmechanismus und SLSA-Quellennachweise (Provenance) implementiert hatte, doch der Angreifer umging diese Schutzmaßnahmen vollständig. Die Untersuchung ergab, dass das Projekt bei der Konfiguration von OIDC gleichzeitig dennoch ein herkömmliches langfristig gültiges NPM_TOKEN beibehielt; wenn beide gleichzeitig vorhanden sind, priorisiert npm standardmäßig das traditionelle Token, sodass der Angreifer keine Umgehung von OIDC benötigte, um die Veröffentlichung abzuschließen.