Axios npm gehackt: Nutzer sollten API-Keys sofort erneuern

• Sicherheitswarnungen wurden für die beliebte JavaScript-HTTP-Client-Bibliothek Axios nach einem Supply-Chain-Angriff herausgegeben.
• Axios-Versionen 1.14.1 und 0.30.4 wurden als kompromittiert identifiziert und enthalten bösartigen Code.
• Entwickler und Benutzer werden dringend gebeten, alle API-Schlüssel, Anmeldedaten und Sitzungs-Token, die in betroffenen Umgebungen verwendet werden, sofort zu ändern.

Entdeckung der bösartigen Veröffentlichungen

Die Cybersicherheitsfirmen Socket und OX Security haben kürzlich zwei kompromittierte Versionen des weit verbreiteten npm-Pakets Axios gemeldet. Die betroffenen Versionen, axios@1.14.1 und axios@0.30.4, wurden so modifiziert, dass sie eine bösartige Abhängigkeit namens plain-crypto-js@4.2.1 enthalten. Diese Abhängigkeit wurde kurz vor dem Angriff veröffentlicht und so konzipiert, dass sie während des Installationsprozesses über ein Post-Install-Skript automatisch ausgeführt wird.

Laut OX Security ermöglicht der geänderte Code Angreifern den Fernzugriff auf infizierte Geräte. Dieser unbefugte Zugriff erlaubt den Diebstahl sensibler Daten, darunter:

• Anmeldedaten und Sitzungs-Token
• API-Schlüssel für verschiedene Dienste
• Informationen zu Krypto-Wallets

Auswirkungen und Empfehlungen für Entwickler

Der Vorfall verdeutlicht die Anfälligkeit des Open-Source-Ökosystems, in dem eine einzige kompromittierte Komponente Tausende von nachgelagerten Anwendungen beeinträchtigen kann. Socket wies darauf hin, dass das bösartige Skript ohne zusätzliche Interaktion des Benutzers ausgeführt wird. Daher sollte jedes System, das diese spezifischen Axios-Versionen verwendet hat, als vollständig kompromittiert betrachtet werden.

Sicherheitsexperten empfehlen Entwicklern, ihre Projektabhängigkeitsdateien umgehend zu überprüfen. Wenn die betroffenen Versionen gefunden werden, sollten sie entfernt oder auf eine bekannte sichere Version zurückgesetzt werden. Darüber hinaus müssen alle auf diesen Systemen gespeicherten oder über sie aufgerufenen Zugangsdaten geändert werden, um weiteren Missbrauch zu verhindern.

Hintergrund von Supply-Chain-Schwachstellen

Diese Sicherheitslücke folgt einem Muster von Supply-Chain-Angriffen auf den Kryptosektor. Am 3. Januar berichtete der On-Chain-Ermittler ZachXBT, dass Hunderte von Wallets in Ethereum Virtual Machine (EVM)-kompatiblen Netzwerken leergeräumt wurden. Forscher wie Vladimir S. haben angedeutet, dass diese Vorfälle mit einer Sicherheitslücke bei Trust Wallet im Dezember in Verbindung stehen könnten.

Diese frühere Kompromittierung, die zu Verlusten von etwa 7 Millionen US-Dollar in über 2.500 Wallets führte, wurde ebenfalls auf ein Supply-Chain-Problem mit npm-Paketen zurückgeführt. Diese Ereignisse unterstreichen die dringende Notwendigkeit strenger Sicherheitsaudits für Drittanbieter-Bibliotheken, die in Finanz- und Blockchain-Anwendungen eingesetzt werden.