Security

Axios npm supply chain-aanval: mitigatiegids

2 min leestijd

Samenvatting

Microsoft waarschuwde dat kwaadaardige Axios npm-versies 1.14.1 en 0.30.4 zijn gebruikt in een supply chain-aanval die wordt toegeschreven aan Sapphire Sleet. Organisaties die de getroffen pakketten gebruiken, moeten direct secrets roteren, downgraden naar veilige versies en developer endpoints en CI/CD-systemen controleren op compromittering.

Hulp nodig met Security?Praat met een expert

Introductie

Microsoft heeft een ernstig npm supply chain-compromis bekendgemaakt dat Axios treft, een van de meest gebruikte JavaScript HTTP-libraries. Omdat Axios vaak wordt geïnstalleerd op developer workstations en in CI/CD-pipelines, heeft dit incident brede gevolgen voor de beveiliging van de software supply chain in Windows-, macOS- en Linux-omgevingen.

Wat is er gebeurd

Op 31 maart 2026 zijn twee kwaadaardige Axios-pakketversies gepubliceerd:

Volgens Microsoft Threat Intelligence voegden deze releases een kwaadaardige dependency toe, [email protected], die een post-install-script uitvoerde tijdens npm install of pakketupdates. De install hook maakte contact met infrastructuur die door de actor werd beheerd en downloadde een remote access trojan (RAT) in een tweede fase.

Microsoft schrijft de campagne toe aan Sapphire Sleet, een Noord-Koreaanse statelijke actor.

Belangrijke technische details

  • De Axios-broncode zelf zou ongewijzigd zijn gebleven.
  • Het kwaadaardige gedrag werd geïntroduceerd via een dependency insertion-techniek.
  • Getroffen omgevingen omvatten developer endpoints en CI/CD-systemen.
  • Payloads waren afgestemd op het besturingssysteem:
    • Windows: PowerShell-gebaseerde RAT met persistentie via een registry Run key
    • macOS: Native binary geplaatst in /Library/Caches
    • Linux/other: Platformspecificieke vervolg-payloads
  • De malware communiceerde met bekende kwaadaardige infrastructuur die is gekoppeld aan Sapphire Sleet.

Waarom dit belangrijk is voor IT- en securityteams

Deze aanval laat zien hoe vertrouwde open-source-pakketten kunnen worden ingezet als wapen zonder duidelijke wijzigingen in applicaties. Zelfs als applicaties normaal lijken te functioneren, kan de compromittering nog steeds plaatsvinden tijdens de installatie, waardoor aanvallers secrets kunnen stelen, persistentie kunnen opbouwen en dieper enterprise-omgevingen kunnen binnendringen.

Voor beheerders zijn de grootste risico’s:

  • Gecompromitteerde developer-credentials en tokens
  • Blootgestelde secrets in build-systemen
  • Malware-uitvoering op CI/CD-agents
  • Persistente footholds op beheerde Windows-apparaten

Aanbevolen acties

Organisaties die de getroffen Axios-versies hebben geïnstalleerd, moeten direct handelen:

  1. Downgrade Axios naar veilige versies:
    • 1.14.0
    • 0.30.3
  2. Roteer secrets en credentials die mogelijk zijn blootgesteld.
  3. Schakel auto-updates uit voor Axios-pakketten totdat is bevestigd dat omgevingen schoon zijn.
  4. Inspecteer developer- en build-systemen op tekenen van compromittering, vooral persistentiemechanismen en verdachte scriptuitvoering.
  5. Gebruik Microsoft Defender-detecties en hunting-richtlijnen uit Microsofts advies om kwaadaardige componenten en getroffen hosts te identificeren.

Conclusie

Het Axios npm-compromis onderstreept dat pakketbeheer en CI/CD-pipelines nu primaire aanvalsoppervlakken zijn. Securityteams moeten getroffen installaties behandelen als mogelijke endpoint- en credential-compromitteringen, niet alleen als een pakketprobleem.

Hulp nodig met Security?

Onze experts helpen u bij het implementeren en optimaliseren van uw Microsoft-oplossingen.

Praat met een expert

Blijf op de hoogte van Microsoft-technologieën

Lees het originele artikel van Microsoft Threat Intelligence and Microsoft Defender Security Research Team
Axiosnpmsupply chain attackSapphire SleetMicrosoft Defender

Gerelateerde artikelen

Security

Kritieke infrastructuur beveiligingsgereedheid 2026

Microsoft zegt dat het dreigingsmodel voor kritieke infrastructuur is verschoven van opportunistische aanvallen naar persistente, identiteitsgestuurde toegang die is bedoeld voor toekomstige verstoring. Voor IT- en securityleiders is de boodschap duidelijk: beperk blootstelling, versterk identity en valideer nu de operationele gereedheid nu regelgeving en activiteiten van natiestaten toenemen.

Security

AI-beveiliging voor CISO’s: praktische basis

Microsoft adviseert CISO’s om AI-systemen te beveiligen met dezelfde kerncontroles die ze al toepassen op software, identiteiten en gegevenstoegang. De richtlijnen benadrukken least privilege, verdediging tegen prompt injection en het gebruik van AI zelf om autorisatieproblemen op te sporen voordat aanvallers of gebruikers dat doen.

Security

WhatsApp-malwarecampagne met VBS- en MSI-backdoors

Microsoft Defender Experts ontdekten eind februari 2026 een campagne die WhatsApp-berichten gebruikt om kwaadaardige VBS-bestanden af te leveren en daarna niet-ondertekende MSI-pakketten installeert voor persistentie en externe toegang. De aanval combineert social engineering, hernoemde Windows-hulpprogramma’s en vertrouwde cloudservices om detectie te ontwijken, waardoor endpoint-beveiliging en gebruikersbewustzijn cruciaal zijn.

Security

Microsoft Copilot Studio beveiligt agentic AI-risico’s

Microsoft beschrijft hoe Copilot Studio en de aanstaande algemene beschikbaarheid van Agent 365 organisaties kunnen helpen om de OWASP Top 10 voor Agentic Applications aan te pakken. Deze richtlijnen zijn belangrijk omdat agentic AI-systemen echte identiteiten, data en tools kunnen gebruiken, wat beveiligingsrisico’s creëert die veel verder gaan dan onjuiste output.

Security

Microsoft Defender HVA-bescherming blokkeert aanvallen

Microsoft lichtte toe hoe Microsoft Defender high-value asset awareness gebruikt om aanvallen op domain controllers, webservers en identiteitsinfrastructuur te detecteren en te stoppen. Door context uit Security Exposure Management te combineren met gedifferentieerde detecties en geautomatiseerde verstoring, kan Defender het beschermingsniveau van Tier-0-assets verhogen en de impact van geavanceerde inbraken beperken.

Security

Microsoft Entra identiteitsbeveiliging: RSAC 2026

Microsoft positioneert identiteitsbeveiliging als een uniform besturingsvlak dat identiteitsinfrastructuur, toegangsbeslissingen en threat protection in realtime combineert. Tijdens RSAC 2026 kondigde het bedrijf nieuwe mogelijkheden aan voor Microsoft Entra en Defender, waaronder een dashboard voor identiteitsbeveiliging, uniforme identity risk scoring en adaptieve risicoremediatie om organisaties te helpen fragmentatie te verminderen en sneller te reageren op identiteitsgebaseerde aanvallen.