Sicherheitswarnung von Slow Fog
Slow Fog hat eine dringende Sicherheitswarnung herausgegeben, die auf bösartige Versionen des Axios-Pakets hinweist, die die Malware „plain-crypto-js“ einführen. Diese Bedrohung macht Krypto-Entwickler über npm anfällig für plattformübergreifende Remote-Access-Trojaner (RATs) und den Diebstahl von Anmeldeinformationen.
Das Blockchain-Sicherheitsunternehmen berichtete, dass die neu veröffentlichten Versionen axios@1.14.1 und axios@0.3.4 eine gefährliche Abhängigkeit, plain-crypto-js, enthalten, die einen der am häufigsten verwendeten HTTP-Clients in eine Waffe der Lieferkette gegen Krypto-Entwickler verwandelt. Axios verzeichnet wöchentlich mehr als 80 Millionen Downloads auf npm, was bedeutet, dass selbst ein kurzlebiger Kompromiss weitreichende Auswirkungen auf Wallet-Backends, Handelsbots, Börsen und DeFi-Infrastrukturen, die auf Node.js basieren, haben kann.
In seiner Mitteilung warnte Slow Fog, dass „Benutzer, die
axios@1.14.1über npm install -g installiert haben, potenziell gefährdet sind“ und empfahl eine sofortige Rotation der Anmeldeinformationen sowie gründliche Untersuchungen auf der Host-Seite nach Anzeichen eines Kompromisses.
Details des Angriffs
Der Angriff basiert auf einem gefälschten Kryptographie-Paket, plain-crypto-js, das stillschweigend als neue Abhängigkeit hinzugefügt wird und ausschließlich dazu dient, ein obfuskiertes Postinstallationsskript auszuführen, das einen plattformübergreifenden Remote-Access-Trojaner anvisiert, der Windows-, macOS- und Linux-Systeme betrifft.
Das Sicherheitsunternehmen StepSecurity erklärte, dass „keine der bösartigen Versionen eine einzige Zeile bösartigen Codes innerhalb von Axios selbst enthält“ und dass stattdessen „beide eine gefälschte Abhängigkeit, plain-crypto-js, injizieren, deren einziger Zweck es ist, ein Postinstallationsskript auszuführen, das einen plattformübergreifenden Remote-Access-Trojaner (RAT) bereitstellt.“
Das Forschungsteam von Socket stellte fest, dass das bösartige Paket plain-crypto-js nur Minuten vor der kompromittierten Axios-Version veröffentlicht wurde und bezeichnete es als „koordinierten Lieferkettenangriff“ gegen das JavaScript-Ökosystem.
Laut StepSecurity wurden die bösartigen Axios-Versionen mit gestohlenen npm-Anmeldeinformationen des Hauptverwalters „jasonsaayman“ veröffentlicht, was es den Angreifern ermöglichte, den üblichen GitHub-basierten Veröffentlichungsfluss des Projekts zu umgehen.
Reaktionen und Maßnahmen
npm hat nun die bösartigen Versionen entfernt und die Axios-Auflösung auf 1.14.0 zurückgesetzt. Dennoch bleibt jede Umgebung, die während des Angriffs die Versionen 1.14.1 oder 0.3.4 heruntergeladen hat, gefährdet, bis die Anmeldeinformationen rotiert und die Systeme neu aufgebaut werden.
Der Kompromiss erinnert an frühere npm-Vorfälle, die direkt Krypto-Nutzer ins Visier nahmen, einschließlich einer Kampagne im Jahr 2025, bei der 18 beliebte Pakete wie chalk und debug stillschweigend Wallet-Adressen austauschten, um Gelder zu stehlen. Ledger-CTO Charles Guillemet warnte, dass „die betroffenen Pakete bereits über 1 Milliarde Mal heruntergeladen wurden.“
Zusätzliche Risiken und Empfehlungen
Forscher haben auch dokumentiert, dass npm-Malware Schlüssel aus Ethereum-, XRP- und Solana-Wallets stiehlt. SlowMist schätzte, dass Krypto-Hacks und Betrügereien – einschließlich hintertüriger Pakete und KI-unterstützter Lieferkettenangriffe – allein in der ersten Hälfte des Jahres 2025 mehr als 2,3 Milliarden Dollar an Verlusten verursacht haben.
Der Rat von Slow Fog ist klar: Downgrade Axios auf 1.14.0, überprüfe Abhängigkeiten auf Spuren von plain-crypto-js oder openclaw und gehe davon aus, dass alle Anmeldeinformationen, die von diesen Umgebungen berührt wurden, kompromittiert sind.
In einer früheren Geschichte über Angriffe auf die JavaScript-Lieferkette warnte Ledger’s Guillemet, dass kompromittierte npm-Pakete mit mehr als 2 Milliarden wöchentlichen Downloads ein systemisches Risiko für dApps und Wallets darstellen, die auf Node.js basieren.
Eine andere Geschichte berichtete darüber, wie die Lazarus-Gruppe aus Nordkorea bösartige npm-Pakete einsetzte, um Entwicklerumgebungen zu hintertüren und Solana- sowie Exodus-Wallet-Nutzer ins Visier zu nehmen. Eine dritte Geschichte über Malware der nächsten Generation zeigte, wie hintertürige Lieferkettenangriffe über npm und kostengünstige KI-Tools Kriminellen halfen, über 4.200 Entwicklermaschinen aus der Ferne zu steuern und zu Milliarden von Dollar an Krypto-Verlusten beizutragen.
