Am 31. März 2026 wurden zwei Versionen des weit verbreiteten JavaScript-HTTP-Clients Axios (1.14.1 und 0.30.4) mit Schadsoftware verseucht. Ein Angreifer hatte sich Zugang zum npm-Konto des Hauptentwicklers verschafft und darüber gefälschte Paketversionen veröffentlicht, die eine bösartige Abhängigkeit namens „plain-crypto-js“ einschleussen. Dieses Paket lädt beim Installieren automatisch einen Fernzugriffs-Trojaner (RAT) auf macOS, Windows und Linux herunter – ohne dass eine einzige Zeile im eigentlichen Axios-Code verändert wurde. Die Spuren wurden anschliessend gezielt verwischt. Mit über 83 Millionen wöchentlichen Downloads ist Axios eines der meistgenutzten Pakete im JavaScript-Ökosystem.
Bin ich betroffen?
Wer Axios 1.14.1 oder 0.30.4 in einem Projekt installiert hat, sollte folgende Dateien prüfen: /Library/Caches/com.apple.act.mond (macOS), %PROGRAMDATA%\wt.exe (Windows) oder /tmp/ld.py (Linux). Existiert eine davon, ist das System als kompromittiert zu betrachten. Auch Projekte, die @shadanai/openclaw oder @qqbrowser/openclaw-qbot@0.0.130 einsetzen, sind betroffen.
Empfehlung
Sofort auf Axios 1.14.0 bzw. 0.30.3 downgraden, plain-crypto-js aus node_modules entfernen und alle Zugangsdaten und Secrets auf dem betroffenen System rotieren. CI/CD-Pipelines sollten auf Läufe mit den betroffenen Versionen geprüft werden. Ausgehende Verbindungen zur Domain sfrclak[.]com sind zu blockieren.
Originalartikel: The Hacker News
