Maintainer geïnfiltreerd Axios-project deelt post-mortem

In dit artikel:

Onderzoek door hoofd‑maintainer Jason Saayman heeft uitgewezen dat de populaire JavaScript HTTP‑library Axios deze week het doelwit was van een supply‑chain aanval. Twee kwaadaardige releases (axios@1.14.1 en axios@0.30.4) stonden ongeveer drie uur live (31 maart, 00:21–03:15 UTC) en verspreidden Remote Access Trojans (RAT’s) via een vervalste dependency plain-crypto-js@4.2.1 die een post‑install script uitvoerde.

De aanval is toegeschreven aan de Noord‑Koreaanse groep UNC1069, een financieel gemotiveerde actor die eerder op cryptobedrijven richtte. Aanvallers voerden een uitgebreide social engineering‑operatie uit: ze kloonden bedrijfsidentiteiten, bouwden een geloofwaardige Slack‑omgeving en organiseerden een valse Microsoft Teams‑meeting waarin Saayman werd verleid een zogenaamd ontbrekend onderdeel te installeren — dat bleek de RAT. Zodra de malware op de machine draaide, omzeilde zij softwaregebaseerde authenticatie en gaf aanvallers volledige controle. De payload maakte verbinding met een command‑and‑control op sfrclak.com:8000 (ook genoemd: 142.11.206.73) en liet weinig sporen achter in node_modules.

Axios heeft gebruikers dringend aangeraden machines die tussen genoemde tijden npm‑installs deden als gecompromitteerd te beschouwen: downgrade naar axios@1.14.0 (of 0.30.3 voor 0.x), verwijder node_modules/plain-crypto-js, draai alle wachtwoorden en sleutels om en controleer netwerklogs op verbindingen met het genoemde domein/IP. Geheimen die tijdens CI/CD werden gebruikt moeten eveneens worden vervangen.

Als reactie schakelt het project over op OIDC‑gebaseerde publicatie, introduceert onveranderlijke releases en past GitHub Actions aan; Saaymans apparaten zijn gewist en credentials gereset. Het incident vergroot zorgen over de npm‑keten — vergelijkbare compromitte werden de afgelopen maanden ook gerapporteerd — en het onderzoek naar deze aanval loopt nog; Microsoft en Datadog publiceerden aanvullende analyses en mitigatierichtlijnen.