Mit einem raffinierten Trick haben Cyberkriminelle es geschafft, den populären HTTP-Client axios mit Schadcode zu verseuchen. Die infizierte Version stand rund drei Stunden lang zum Download bereit.
Die Angreifer gaben sich als Unternehmensgründer aus und luden den Maintainer in einen täuschend echt wirkenden Slack-Workspace ein. Dort warteten verschiedene Kanäle mit passenden Inhalten und glaubhaften Profilen auf ihn.
Wie heise.de berichtet, wurde der Entwickler dann zu einem Teams-Meeting eingeladen. Während des Gesprächs tauchte eine Fehlermeldung auf, und er sollte ein Update installieren. Das vermeintliche Update war jedoch ein Trojaner, der seine npm-Zugangsdaten stahl.
Mit den erbeuteten Anmeldedaten konnten die Hacker die kompromittierte Version von axios veröffentlichen. Der Schadcode verhält sich je nach Betriebssystem unterschiedlich: Auf Windows lädt er ein PowerShell-Skript, auf macOS eine Mach-O-Datei und auf Linux ein Python-Backdoor.
Wenn du axios verwendest, solltest du überprüfen, ob die Versionen 1.14.1 oder 0.30.4 auf deinem System gelandet sind. Bei automatisierten Systemen empfiehlt es sich, auf eine fixe Versionsnummer zu pinnen, statt immer die neueste Version herunterzuladen.
