Axios npm-Paket kompromittiert – Angreifer schleusen Trojaner ein

Am 31. März 2026 wurden zwei Versionen des weit verbreiteten JavaScript-HTTP-Clients Axios (1.14.1 und 0.30.4) mit Schadsoftware verseucht. Ein Angreifer hatte sich Zugang zum npm-Konto des Hauptentwicklers verschafft und darüber gefälschte Paketversionen veröffentlicht, die eine bösartige Abhängigkeit namens „plain-crypto-js" einschleussen. Dieses Paket lädt beim Installieren automatisch einen Fernzugriffs-Trojaner (RAT) auf macOS, Windows und Linux herunter – ohne dass eine einzige Zeile im eigentlichen Axios-Code verändert wurde. Die Spuren wurden anschliessend gezielt verwischt. Mit über 83 Millionen wöchentlichen Downloads ist Axios eines der meistgenutzten Pakete im JavaScript-Ökosystem.

Bin ich betroffen?

Wer Axios 1.14.1 oder 0.30.4 in einem Projekt installiert hat, sollte folgende Dateien prüfen: /Library/Caches/com.apple.act.mond (macOS), %PROGRAMDATA%\wt.exe (Windows) oder /tmp/ld.py (Linux). Existiert eine davon, ist das System als kompromittiert zu betrachten. Auch Projekte, die @shadanai/openclaw oder @qqbrowser/openclaw-qbot@0.0.130 einsetzen, sind betroffen.

Empfehlung

Sofort auf Axios 1.14.0 bzw. 0.30.3 downgraden, plain-crypto-js aus node_modules entfernen und alle Zugangsdaten und Secrets auf dem betroffenen System rotieren. CI/CD-Pipelines sollten auf Läufe mit den betroffenen Versionen geprüft werden. Ausgehende Verbindungen zur Domain sfrclak[.]com sind zu blockieren.

Originalartikel: The Hacker News

Related Posts

Medizintechnik-Konzern Stryker: Iranische Gruppe löscht 200.000 Geräte über Intune

Am 11. März 2026 wurde der US-amerikanische Medizintechnikkonzern Stryker Opfer eines gezielten Cyberangriffs, der erhebliche Störungen in der weltweiten Microsoft-Umgebung des Unternehmens verursachte. Betroffen waren Auftragsverarbeitung, Fertigung und Logistik – in Irland, dem größten Standort außerhalb der USA, wurden Mitarbeitende nach Hause geschickt. Die Hackergruppe Handala beansprucht die Tat für sich und gibt an, über 200.000 Geräte gelöscht und 50 TB Daten gestohlen zu haben.

Read More

Directory Traversal Schwachstelle in rollup (CVE-2026-27606)

Am 25. Februar 2026 wurde eine ernste Schwachstelle im JavaScript-Bundler rollup veröffentlicht. Betroffen sind alle Versionen unter 2.80.0, 3.30.0 bzw. 4.59.0 – je nach eingesetztem Versionszweig. Der CVSS-Score liegt bei 8.5 (hoch), ein Proof-of-Concept-Exploit existiert bereits.

Read More

Datenpanne bei asgoodasnew – 1,8 Millionen Kunden betroffen

Der deutsche Wiederverkäufer für Elektronik asgoodasnew wurde Anfang März 2026 Opfer eines Hackerangriffs. Über eine Sicherheitslücke in einem Zahlungsmodul eines Drittanbieters erlangten Angreifer Zugang zu Kundendaten – Namen, Adressen, E-Mail-Adressen, verschlüsselte Passwörter und Bestellhistorien von bis zu 1,8 Millionen Personen könnten abgeflossen sein. Das Unternehmen hat reagiert und alle Passwörter vorsorglich zurückgesetzt.

Read More