Hackers hebben op 30 maart het npm-account van een Axios-beheerder gecompromitteerd. Axios is een populaire JavaScript-bibliotheek. Ontwikkelaars downloaden het pakket zo’n 100 miljoen keer per week. De aanvallers gebruikten het gehackte account om twee kwaadaardige versies te publiceren.
De besmette versies voegden een verborgen afhankelijkheid toe: plain-crypto-js@4.2.1. Dit pakket deed zich voor als een legitieme bibliotheek. In werkelijkheid installeerde het een Remote Access Trojan (RAT) op de computers van ontwikkelaars. De malware werkte op macOS, Windows én Linux. De aanval duurde slechts achttien uur, maar de kwaadaardige versies waren twee tot drie uur live.
De RAT maakte al na 1,1 seconde verbinding met een command-and-control server. Op macOS verborg de malware zich als een Apple-systeemproces. Op Windows misbruikte het PowerShell. Op Linux downloadde het een Python-script. Na uitvoering verwijderde de malware alle sporen van zichzelf. Een gewone inspectie van het pakket toonde daarna niets verdachts.
Beveiligingsbedrijven zoals StepSecurity, Snyk, Wiz en Vercel slaan alarm. Zij adviseren elke ontwikkelaar die de besmette versie heeft geïnstalleerd om hun systeem als volledig gecompromitteerd te beschouwen. Alle inloggegevens moeten direct worden vernieuwd. De kwaadaardige versies zijn inmiddels verwijderd uit npm. Ze stonden nooit in de officiële GitHub-repository van Axios.
