Op 31 maart 2026 ontdekte StepSecurity twee kwaadaardige versies van axios, een veelgebruikte JavaScript-bibliotheek. De aanvaller hackte het npm-account van een hoofdontwikkelaar. Daarna publiceerde hij twee vergiftigde versies: axios@1.14.1 en axios@0.30.4. Axios zelf bevat geen kwaadaardige code. De aanvaller verborg de malware slim in een neppakket.
Dat neppakket heet plain-crypto-js@4.2.1. Het installeert automatisch een Remote Access Trojan, ook wel RAT genoemd. Die RAT werkt op macOS, Windows én Linux. Na installatie maakt de malware contact met een externe server. Vervolgens laadt het gevaarlijke software op het apparaat van het slachtoffer. Daarna verwijdert de malware zichzelf en vervangt zijn eigen configuratiebestand door een schone versie. Zo is er vrijwel niets te zien voor wie later het systeem controleert.
De aanval was voorbereid over een periode van ongeveer 18 uur. De aanvaller publiceerde eerst een onschadelijke versie van plain-crypto-js. Dat deed hij om vertrouwen te wekken bij beveiligingsscanners. Pas daarna volgden de kwaadaardige axios-versies. Wie axios@1.14.1 of axios@0.30.4 heeft geïnstalleerd, moet ervan uitgaan dat zijn systeem is gecompromitteerd. Schakel over naar axios@1.14.0 of axios@0.30.3. Verander ook alle wachtwoorden en geheime sleutels op getroffen systemen. Controleer daarnaast de netwerklogboeken op verdachte verbindingen.
