Update 31 maart 2026, 13:28 UTC: Dit artikel is bijgewerkt met opmerkingen van Abdelfattah Ibrahim, senior offensive security engineer bij Hacken.
Twee kwaadaardige Axios npm-releases hebben geleid tot waarschuwingen voor ontwikkelaars om inloggegevens te wijzigen en getroffen systemen als gecompromitteerd te beschouwen, nadat een supply chain-aanval de populaire JavaScript HTTP-clientbibliotheek had geïnfecteerd.
De compromittering werd voor het eerst gemeld door cybersecuritybedrijf Socket, dat verklaarde dat axios@1.14.1 en axios@0.30.4 waren aangepast om plain-crypto-js@4.2.1 binnen te halen, een kwaadaardige afhankelijkheid die automatisch werd uitgevoerd tijdens de installatie voordat de releases uit npm werden verwijderd.
Volgens beveiligingsbedrijf OX Security kan de gewijzigde code aanvallers externe toegang geven tot geïnfecteerde apparaten, waardoor ze gevoelige gegevens kunnen stelen, zoals inloggegevens, API-sleutels en informatie over crypto-wallets.
Het incident toont aan hoe één enkele gecompromitteerde open-sourcecomponent zich mogelijk kan verspreiden over duizenden applicaties die ervan afhankelijk zijn, waardoor niet alleen ontwikkelaars, maar ook platforms en gebruikers die met het systeem zijn verbonden, worden blootgesteld.
OX Security waarschuwde ontwikkelaars die axios@1.14.1 of axios@0.30.4 hadden geïnstalleerd om hun systemen als volledig gecompromitteerd te beschouwen en onmiddellijk inloggegevens te wijzigen, inclusief API-sleutels en sessietokens.
Socket meldde dat de gecompromitteerde Axios-releases waren aangepast om een afhankelijkheid van plain-crypto-js@4.2.1 op te nemen, een pakket dat kort voor het incident werd gepubliceerd en later als kwaadaardig werd geïdentificeerd.
Gerelateerd: Trust Wallet browserextensie offline gehaald door Chrome Store ‘bug’, aldus CEO
Het bedrijf verklaarde dat de afhankelijkheid was geconfigureerd om automatisch te worden uitgevoerd tijdens de installatie via een post-installatiescript, waardoor aanvallers code konden uitvoeren op doelsystemen zonder verdere gebruikersinteractie.
Socket adviseerde ontwikkelaars om hun projecten en afhankelijkheidsbestanden te controleren op de getroffen Axios-versies en het bijbehorende plain-crypto-js@4.2.1-pakket, en om alle gecompromitteerde versies onmiddellijk te verwijderen of terug te draaien.
Abdelfattah Ibrahim, senior offensive security engineer bij Hacken, vertelde Cointelegraph dat de compromittering ernstige gevolgen kan hebben voor crypto-gerelateerde applicaties die afhankelijk zijn van Axios voor backend-operaties.
“Dat is slecht nieuws voor dapps en apps die te maken hebben met cryptocurrency, omdat Axios een enorme rol speelt in API-aanroepen,” zei hij, opmerkend dat getroffen systemen exchange-integraties, wallet-saldocontroles en transactie-uitzendingen kunnen omvatten.
Ibrahim zei dat de malware die bij de aanval werd ingezet functioneert als een volledige remote access trojan (RAT), waardoor aanvallers direct kunnen communiceren met gecompromitteerde systemen. Hij voegde eraan toe dat het incident een bredere zwakte benadrukt in de manier waarop supply chain-risico’s worden beheerd.
Eerdere crypto-incidenten hebben aangetoond hoe supply chain-inbreuken kunnen escaleren van gestolen ontwikkelaarsinformatie naar door gebruikers geleden wallet-verliezen.
Op 3 januari meldde onchain-onderzoeker ZachXBT dat "honderden" wallets op Ethereum Virtual Machine-compatibele netwerken waren leeggehaald in een brede aanval die kleine bedragen van elk slachtoffer afroomde.
Cybersecurity-onderzoeker Vladimir S. zei dat het incident mogelijk verband hield met een inbreuk in december bij Trust Wallet, wat resulteerde in ongeveer $7 miljoen aan verliezen verdeeld over meer dan 2.500 wallets.
Trust Wallet zei later dat de inbreuk mogelijk afkomstig was van een supply chain-compromittering met npm-pakketten die werden gebruikt in hun ontwikkelingsworkflow.
Magazine: Niemand weet of kwantumveilige cryptografie überhaupt zal werken