Security

Axios npm kompromittering: guide til afhjælpning

2 min læsning

Resumé

Microsoft advarede om, at ondsindede Axios npm-versioner 1.14.1 og 0.30.4 blev brugt i et supply chain-angreb, der tilskrives Sapphire Sleet. Organisationer, der bruger de berørte pakker, bør straks rotere secrets, nedgradere til sikre versioner og gennemgå developer endpoints og CI/CD-systemer for kompromittering.

Brug for hjælp med Security?Tal med en ekspert

Introduktion

Microsoft har offentliggjort en alvorlig npm supply chain-kompromittering, der påvirker Axios, et af de mest udbredte JavaScript HTTP-biblioteker. Fordi Axios ofte installeres på udvikleres arbejdsstationer og i CI/CD-pipelines, har hændelsen brede konsekvenser for sikkerheden i software supply chain på tværs af Windows-, macOS- og Linux-miljøer.

Hvad skete der

To ondsindede Axios-pakkeversioner blev offentliggjort den 31. marts 2026:

Ifølge Microsoft Threat Intelligence tilføjede disse udgivelser en ondsindet dependency, [email protected], som kørte et post-install-script under npm install eller pakkeopdateringer. Installationshooket kontaktede infrastruktur kontrolleret af aktøren og downloadede en anden fase af en remote access trojan (RAT).

Microsoft tilskriver kampagnen til Sapphire Sleet, en nordkoreansk statsaktør.

Vigtige tekniske detaljer

  • Axios-kildekoden blev angiveligt ikke ændret.
  • Den ondsindede adfærd blev introduceret gennem en teknik, hvor en dependency blev indsat.
  • Berørte miljøer omfattede developer endpoints og CI/CD-systemer.
  • Payloads blev tilpasset efter operativsystem:
    • Windows: PowerShell-baseret RAT med persistens via registry Run key
    • macOS: Native binary placeret i /Library/Caches
    • Linux/andre: Platformspecifikke efterfølgende payloads
  • Malwaren kommunikerede med kendt ondsindet infrastruktur knyttet til Sapphire Sleet.

Hvorfor dette er vigtigt for IT- og sikkerhedsteams

Angrebet viser, hvordan betroede open source-pakker kan gøres til våben uden tydelige ændringer i applikationen. Selv hvis applikationer ser ud til at fungere normalt, kan kompromitteringen stadig ske ved installationstidspunktet, hvilket gør det muligt for angribere at stjæle secrets, etablere persistens og bevæge sig dybere ind i virksomhedsmiljøer.

For administratorer er de største risici:

  • Kompromitterede udviklercredentials og tokens
  • Eksponerede secrets i build-systemer
  • Malwareeksekvering på CI/CD-agenter
  • Vedvarende footholds på administrerede Windows-enheder

Anbefalede handlinger

Organisationer, der har installeret de berørte Axios-versioner, bør handle straks:

  1. Nedgrader Axios til sikre versioner:
    • 1.14.0
    • 0.30.3
  2. Roter secrets og credentials, som kan være blevet eksponeret.
  3. Deaktiver automatiske opdateringer for Axios-pakker, indtil miljøerne er verificeret som rene.
  4. Inspicér developer- og build-systemer for tegn på kompromittering, især persistensmekanismer og mistænkelig script-eksekvering.
  5. Brug Microsoft Defender-detektioner og hunting-vejledning fra Microsofts advisory til at identificere ondsindede komponenter og berørte værter.

Kort fortalt

Axios npm-kompromitteringen er en påmindelse om, at package management og CI/CD-pipelines nu er primære angrebsflader. Sikkerhedsteams bør behandle berørte installationer som potentielle endpoint- og credential-kompromitteringer, ikke kun som et pakkeproblem.

Brug for hjælp med Security?

Vores eksperter kan hjælpe dig med at implementere og optimere dine Microsoft-løsninger.

Tal med en ekspert

Hold dig opdateret om Microsoft-teknologier

Læs den originale artikel af Microsoft Threat Intelligence and Microsoft Defender Security Research Team
Axiosnpmsupply chain attackSapphire SleetMicrosoft Defender

Relaterede indlæg

Security

Sikkerhedsberedskab for kritisk infrastruktur 2026

Microsoft siger, at trusselsmodellen for kritisk infrastruktur har flyttet sig fra opportunistiske angreb til vedvarende, identitetsdrevet adgang designet til fremtidig forstyrrelse. For IT- og sikkerhedsledere er budskabet klart: reducer eksponering, styrk identitetssikkerheden, og valider den operationelle parathed nu, i takt med at regulering og nation-state-aktivitet intensiveres.

Security

AI-sikkerhed for CISO'er: praktisk vejledning

Microsoft råder CISO'er til at sikre AI-systemer med de samme kernekontroller, de allerede bruger til software, identiteter og dataadgang. Vejledningen fremhæver mindst mulige rettigheder, forsvar mod prompt injection og brug af AI til at afdække rettighedsproblemer, før angribere eller brugere gør det.

Security

WhatsApp malwarekampagne bruger VBS og MSI-bagdøre

Microsoft Defender Experts har afdækket en kampagne fra slutningen af februar 2026, der bruger WhatsApp-beskeder til at levere ondsindede VBS-filer og derefter installerer usignerede MSI-pakker for persistens og fjernadgang. Angrebet kombinerer social engineering, omdøbte Windows-værktøjer og betroede cloudtjenester for at undgå registrering, hvilket gør endpoint-kontroller og brugerbevidsthed afgørende.

Security

Copilot Studio mod OWASP-risici i agentic AI

Microsoft beskriver, hvordan Copilot Studio og den kommende generelle tilgængelighed af Agent 365 kan hjælpe organisationer med at håndtere OWASP Top 10 for agentiske applikationer. Vejledningen er vigtig, fordi agentic AI-systemer kan bruge reelle identiteter, data og værktøjer, hvilket skaber sikkerhedsrisici, der rækker langt ud over unøjagtige output.

Security

Microsoft Defender HVA-beskyttelse blokerer angreb

Microsoft beskrev, hvordan Microsoft Defender bruger bevidsthed om high-value assets til at registrere og stoppe angreb mod domænecontrollere, webservere og identitetsinfrastruktur. Ved at kombinere kontekst fra Security Exposure Management med differentierede registreringer og automatisk afbrydelse kan Defender hæve beskyttelsesniveauet på Tier-0-aktiver og reducere konsekvenserne af avancerede indtrængen.

Security

Microsoft Entra identitetssikkerhed: RSAC 2026

Microsoft positionerer identitetssikkerhed som et samlet kontrolplan, der kombinerer identitetsinfrastruktur, adgangsbeslutninger og trusselsbeskyttelse i realtid. På RSAC 2026 annoncerede virksomheden nye funktioner i Microsoft Entra og Defender, herunder et dashboard til identitetssikkerhed, samlet scoring af identitetsrisiko og adaptiv risikohåndtering, som skal hjælpe organisationer med at reducere fragmentering og reagere hurtigere på identitetsbaserede angreb.