Security

Axios npm-Kompromittierung: Leitfaden zur Abwehr

2 Min. Lesezeit

Zusammenfassung

Microsoft warnte, dass die schädlichen Axios npm-Versionen 1.14.1 und 0.30.4 bei einem Supply-Chain-Angriff verwendet wurden, der Sapphire Sleet zugeschrieben wird. Unternehmen mit den betroffenen Paketen sollten umgehend Secrets rotieren, auf sichere Versionen downgraden und Entwicklerendpunkte sowie CI/CD-Systeme auf eine Kompromittierung prüfen.

Audio-Zusammenfassung

0:00--:--
Brauchen Sie Hilfe mit Security?Mit einem Experten sprechen

Einführung

Microsoft hat eine schwerwiegende npm-Supply-Chain-Kompromittierung offengelegt, die Axios betrifft, eine der am häufigsten verwendeten JavaScript-HTTP-Bibliotheken. Da Axios häufig auf Entwickler-Workstations und in CI/CD-Pipelines installiert wird, hat dieser Vorfall weitreichende Auswirkungen auf die Sicherheit der Softwarelieferkette in Windows-, macOS- und Linux-Umgebungen.

Was ist passiert

Am 31. März 2026 wurden zwei schädliche Axios-Paketversionen veröffentlicht:

Laut Microsoft Threat Intelligence fügten diese Releases eine schädliche Abhängigkeit hinzu, [email protected], die während npm install oder bei Paketupdates ein Post-Install-Skript ausführte. Der Install-Hook kontaktierte eine vom Akteur kontrollierte Infrastruktur und lud einen Remote Access Trojan (RAT) der zweiten Stufe herunter.

Microsoft schreibt die Kampagne Sapphire Sleet zu, einem nordkoreanischen staatlichen Akteur.

Wichtige technische Details

  • Der Axios-Quellcode selbst blieb Berichten zufolge unverändert.
  • Das schädliche Verhalten wurde durch eine Technik zur Einschleusung von Abhängigkeiten eingeführt.
  • Betroffene Umgebungen umfassten Entwicklerendpunkte und CI/CD-Systeme.
  • Die Payloads wurden an das jeweilige Betriebssystem angepasst:
    • Windows: PowerShell-basierter RAT mit Persistenz über den Registry-Run-Key
    • macOS: Native Binärdatei abgelegt in /Library/Caches
    • Linux/sonstige: Plattformspezifische Folge-Payloads
  • Die Malware kommunizierte mit bekannter schädlicher Infrastruktur, die mit Sapphire Sleet in Verbindung steht.

Warum das für IT- und Sicherheitsteams wichtig ist

Dieser Angriff zeigt, wie vertrauenswürdige Open-Source-Pakete ohne offensichtliche Änderungen an der Anwendung als Waffe eingesetzt werden können. Selbst wenn Anwendungen scheinbar normal funktionieren, kann die Kompromittierung bereits zur Installationszeit erfolgen, sodass Angreifer Secrets stehlen, Persistenz herstellen und tiefer in Unternehmensumgebungen vordringen können.

Für Administratoren sind die größten Risiken:

  • Kompromittierte Entwickleranmeldeinformationen und Tokens
  • Offengelegte Secrets in Build-Systemen
  • Malware-Ausführung auf CI/CD-Agents
  • Persistente Zugriffspunkte auf verwalteten Windows-Geräten

Empfohlene Maßnahmen

Unternehmen, die die betroffenen Axios-Versionen installiert haben, sollten sofort handeln:

  1. Axios downgraden auf sichere Versionen:
    • 1.14.0
    • 0.30.3
  2. Secrets und Anmeldeinformationen rotieren, die möglicherweise offengelegt wurden.
  3. Automatische Updates deaktivieren für Axios-Pakete, bis die Umgebungen nachweislich sauber sind.
  4. Entwickler- und Build-Systeme prüfen auf Anzeichen einer Kompromittierung, insbesondere Persistenzmechanismen und verdächtige Skriptausführung.
  5. Microsoft Defender-Erkennungen und Hunting-Empfehlungen verwenden aus Microsofts Advisory, um schädliche Komponenten und betroffene Hosts zu identifizieren.

Fazit

Die Axios npm-Kompromittierung ist eine Erinnerung daran, dass Paketverwaltung und CI/CD-Pipelines heute primäre Angriffsflächen sind. Sicherheitsteams sollten betroffene Installationen als potenzielle Endpunkt- und Anmeldeinformationskompromittierungen behandeln, nicht nur als Paketproblem.

Brauchen Sie Hilfe mit Security?

Unsere Experten helfen Ihnen bei der Implementierung und Optimierung Ihrer Microsoft-Lösungen.

Mit einem Experten sprechen

Bleiben Sie über Microsoft-Technologien auf dem Laufenden

Originalartikel von Microsoft Threat Intelligence and Microsoft Defender Security Research Team lesen
Axiosnpmsupply chain attackSapphire SleetMicrosoft Defender

Verwandte Beiträge

Security

Kritische Infrastruktur: Sicherheitsbereitschaft 2026

Microsoft sagt, dass sich das Bedrohungsmodell für kritische Infrastruktur von opportunistischen Angriffen zu dauerhaftem, identitätsbasiertem Zugriff verlagert hat, der auf spätere Störungen ausgelegt ist. Für IT- und Sicherheitsverantwortliche ist die Botschaft klar: Angriffsfläche reduzieren, Identitäten absichern und die operative Bereitschaft jetzt validieren, da Regulierung und Aktivitäten von Nationalstaaten zunehmen.

Security

AI-Sicherheitsleitfaden für CISOs: Praxisnah

Microsoft rät CISOs, AI-Systeme mit denselben grundlegenden Kontrollen abzusichern, die sie bereits für Software, Identitäten und Datenzugriff einsetzen. Die Empfehlungen betonen Least Privilege, Schutz vor Prompt Injection und den Einsatz von AI selbst, um Berechtigungsprobleme aufzudecken, bevor Angreifer oder Nutzer sie finden.

Security

WhatsApp-Malware-Kampagne mit VBS- und MSI-Backdoors

Microsoft Defender Experts haben eine Kampagne von Ende Februar 2026 aufgedeckt, die WhatsApp-Nachrichten nutzt, um schädliche VBS-Dateien auszuliefern, und anschließend unsignierte MSI-Pakete für Persistenz und Remotezugriff installiert. Der Angriff kombiniert Social Engineering, umbenannte Windows-Dienstprogramme und vertrauenswürdige Cloud-Dienste zur Umgehung der Erkennung, wodurch Endpoint-Kontrollen und Nutzeraufklärung entscheidend werden.

Security

Microsoft Copilot Studio gegen OWASP-AI-Risiken

Microsoft erläutert, wie Copilot Studio und die bevorstehende allgemeine Verfügbarkeit von Agent 365 Unternehmen dabei helfen können, die OWASP Top 10 für Agentic Applications zu adressieren. Die Hinweise sind wichtig, weil agentische AI-Systeme echte Identitäten, Daten und Tools nutzen können und dadurch Sicherheitsrisiken entstehen, die weit über ungenaue Ausgaben hinausgehen.

Security

Microsoft Defender HVA-Schutz blockiert Angriffe

Microsoft hat erläutert, wie Microsoft Defender mit High-Value-Asset-Erkennung Angriffe auf Domain Controller, Webserver und Identitätsinfrastruktur erkennt und stoppt. Durch die Kombination von Kontext aus Security Exposure Management mit differenzierten Erkennungen und automatischer Unterbrechung kann Defender das Schutzniveau für Tier-0-Assets erhöhen und die Auswirkungen komplexer Angriffe reduzieren.

Security

Microsoft Entra Identitätssicherheit: RSAC 2026

Microsoft positioniert Identitätssicherheit als eine einheitliche Steuerungsebene, die Identitätsinfrastruktur, Zugriffsentscheidungen und Bedrohungsschutz in Echtzeit zusammenführt. Auf der RSAC 2026 kündigte das Unternehmen neue Funktionen für Microsoft Entra und Defender an, darunter ein Dashboard für Identitätssicherheit, ein einheitliches Identitätsrisiko-Scoring und adaptive Risikobehebung, um Unternehmen dabei zu helfen, Fragmentierung zu reduzieren und schneller auf identitätsbasierte Angriffe zu reagieren.