Malware auf npm: HTTP-Client axios lädt Backdoor für Windows, macOS und Linux
Der Maintainer-Account für das Paket axios auf npm wurde geknackt, um einen Remote-Access-Trojaner für Windows, macOS und Linux einzuschleusen.
(Bild: Gorodenkoff/Shutterstock.com)
Auf dem JavaScript-Paketmanager npm hat es erneut einen Supply-Chain-Angriff gegeben: Der HTTP-Client axios hatte eine Backdoor an Bord. Angreifer hatten zuvor den Account des axios-Maintainers übernommen. Hinter der Attacke steht vermutlich die nordkoreanische Gruppe UNC1069.
Betroffen ist die Version 1.14.1, die die Angreifer am 30. März veröffentlicht haben. Inzwischen ist auf npm wieder die Version 1.14.0 ohne Malware verfügbar, und der ursprüngliche Maintainer hat die Kontrolle über das Paket zurückerlangt. Wer axios nutzt, sollte prüfen, ob zwischenzeitlich die mit Malware versehene Version auf das System gelangt ist. Neben der Version 1.14.1 haben die Angreifer auch eine Version 0.30.4 mit der Malware auf npm veröffentlicht, die ebenfalls nicht mehr existiert.
Plattformübergreifender Angriff
Die Angreifer haben sich zunächst Zugriff auf den Account des npm-Maintainers über Social Engineering verschafft und anschließend die Version 1.14.1 von axios mit der zusätzlichen Dependency „plain-crypto-js@4.2.1“ versehen, die im “postinstall“-Hook den JavaScript-Dropper setup.js ausführt.
(Bild: AliaAyah / Shutterstock)
Am 22. und 23. September findet die heise devSec 2026 statt. Die zehnte Auflage der Konferenz zu sicherer Softwareentwicklung wandert dieses Jahr nach Marburg. Weiterhin lautet das Motto „Sichere Software beginnt vor der ersten Zeile Code“.
Der Dropper verhält sich je nach Betriebssystem unterschiedlich. Auf Windows lädt er ein PowerShell-Skript nach, unter macOS ein Mach-O-Binary und unter Linux eine Python-Backdoor. Mehrere Methoden sollen den Angriff vertuschen: Das Skript ist mit Base64 und XOR verschleiert, und setup.js versucht, sich nach dem erfolgreichen Nachladen des Payloads selbst zu löschen und die package.json-Datei zurückzusetzen.
Command & Control
Die plattformspezifische Malware lädt anschließend die Backdoor nach, die Google Threat Intelligence in einer Analyse als WAVESHAPER.V2 identifiziert, da sie große Ähnlichkeiten mit der WAVESHAPER-Backdoor mitbringt, die im Februar 2026 aufgetaucht war. Da die ursprüngliche Backdoor der UNC1069-Gruppe zugeordnet wird, vermutet Google Threat Intelligence, dass die nordkoreanische Gruppe auch hinter dem Angriff auf axios steckt.
Videos by heise
WAVESHAPER.V2 arbeitet schließlich als Remote-Access-Trojaner: Die Software nimmt Kontakt zu einem C2-Server (Command & Control) auf und erwartet im Minutentakt die Befehle runscript, peinject oder rundir vom Server, um weitere Skripte oder Executables auszuführen oder Informationen zu Verzeichnissen und Dateien abzurufen. Der Befehl kill beendet die Ausführung. Google Threat Intelligence sieht in WAVESHAPER.V2 eine direkte Weiterentwicklung des Original-WAVESHAPER.
Zurück zu Version 1.14.0
Wer das axios-Paket verwendet, sollte überprüfen, ob die Versionen 1.14.1 oder 0.30.4 mit dem Schadcode ins System gelangt sind. Automatische Systeme sollten auf die feste Versionsnummer gepinnt werden, statt die aktuellste Version herunterzuladen.
Im Beitrag von Google Threat Intelligence findet sich eine Übersicht der Indikatoren, die auf einen Angriff hinweisen, darunter Netzwerkverkehr zu den IP-Adressen 142.11.206.73 oder 23.254.167.216.
(rme)
