Noord-Korea achter social engineering-aanval op Axios

In dit artikel:

De maintainer van het veelgebruikte npm-pakket Axios legt uit hoe aanvallers zijn account overnamen en via dat account malafide versies publiceerden die een Remote Access Trojan (RAT) installeerden. Op 31 maart verschenen twee besmette releases die met een valse dependency onopgemerkt een cross-platform backdoor plaatsten op macOS, Windows en Linux. Axios is een populaire HTTP-client voor Node.js en browsers met meer dan honderd miljoen downloads per week, waardoor de impact potentieel groot is.

Volgens de maintainer gebeurde het via een social engineering-aanval: kwaadwillenden deden zich voor als geïnteresseerden in samenwerking aan open source, kregen zo vertrouwen en verkregen toegang tot het account. Nadere technische details werden niet vrijgegeven. Google koppelt de operatie aan de Noord-Koreaanse groep UNC1069, die sinds circa 2018 actief is, financieel gemotiveerd opereert (vooral gericht op cryptobedrijven) en steeds vaker AI-tools en deepfakes inzet voor misleiding — bijvoorbeeld via nep-Zoom-gesprekken en Telegram-berichten.

Het kapen van maintaineraccounts om schadelijke npm-pakketten te verspreiden is geen nieuw verschijnsel; in september 2025 werden bijvoorbeeld de populaire packages Chalk en Debug al misbruikt na phishing op een maintaineraccount. Na ontdekking heeft de Axios-maintainer zijn systemen geformatteerd, alle accounts gereset en maatregelen aangekondigd om zijn beveiliging te verscherpen, waaronder het gebruik van een FIDO-securitykey.

GitHub en later Microsoft hebben eerder al gewaarschuwd voor dit soort social engineering-aanvallen gericht op ontwikkelaars, en voor de betrokkenheid van aan Noord-Korea gelieerde groepen. Voor gebruikers en andere maintainers is het verstandig om afhankelijkheden te controleren, lockfiles en versiepinnen te gebruiken, beveiligingsmeldingen van npm serieus te nemen en maintainers aan te moedigen hardware-2FA en extra verificatieprocedures te gebruiken.