Een geavanceerde cyberaanval heeft een kritieke kwetsbaarheid blootgelegd in het register van npm JavaScript-pakketten, waardoor hackers kwaadaardige code kunnen injecteren in de veelgebruikte ‘axios’ HTTP-clientbibliotheek. De gecompromitteerde versies, die kort drie uur actief waren, bevatten een platformonafhankelijke Remote Access Trojan (RAT) gericht op macOS-, Windows- en Linux-systemen. Dit incident wijst op een fundamentele tekortkoming in de softwaretoeleveringsketen, waarbij verouderde authenticatiemethoden zelfs de meest geavanceerde beveiligingsmaatregelen ondermijnen.
De aanval: nauwkeurige targeting van een kernafhankelijkheid
Aanvallers maakten misbruik van een langlevend npm-toegangstoken van een leidende ‘axios’-onderhouder, waarbij moderne beveiligingsprotocollen zoals GitHub Actions CI/CD en SLSA-herkomstattesten werden omzeild. De kwaadaardige pakketten, [email protected] en [email protected], hebben een verborgen afhankelijkheid ([email protected] ) geïmplementeerd die een post-installatiescript uitvoert en de RAT stil op ontwikkelaarsmachines installeert. De aanvallers voerden de aanval uit door eerst een schone versie van de kwaadaardige afhankelijkheid te publiceren om de geloofwaardigheid vast te stellen voordat ze de bewapende versie inzetten.
Deze inbreuk is vooral zorgwekkend omdat axios ongeveer 80% van de cloud- en codeomgevingen aanstuurt, inclusief React front-ends, CI/CD-pijplijnen en serverloze functies. Wiz meldt dat meer dan 100 miljoen downloads per week afhankelijk zijn van deze bibliotheek, wat betekent dat het potentiële bereik van de aanval enorm is. Huntress ontdekte de eerste infecties slechts 89 seconden nadat de kwaadaardige pakketten live gingen, waarbij minstens 135 gecompromitteerde systemen onder zijn klanten werden geïdentificeerd.
Terugkerend patroon: compromissen over geloofsbrieven blijven de kernzwakte
Dit incident markeert de derde grote npm-supply chain-compromis in zeven maanden, allemaal voortkomend uit gestolen inloggegevens van beheerders. Ondanks sectorbrede inspanningen om het ecosysteem te verharden na de Shai-Hulud-worm in 2025 en de daaropvolgende kwetsbaarheden ontdekt door Koi Security, blijft het fundamentele probleem bestaan: individuele beheerdersaccounts zijn nog steeds de zwakste schakel.
De aanvallers omzeilden de beveiligingsstack van het project door misbruik te maken van het feit dat npm standaard gebruikmaakt van klassieke tokens met een lange levensduur als zowel OIDC- als oudere tokens aanwezig zijn. Dit betekent dat zelfs als er moderne authenticatiemechanismen aanwezig zijn, een verouderde identificatie deze stilletjes kan overschrijven. Zoals Merritt Baer, CSO bij Enkrypt AI en voormalig plaatsvervangend CISO bij AWS, uitlegt: “Moderne controles worden ingezet, maar als oudere tokens of sleutels niet worden ingetrokken, geeft het systeem daar stilletjes de voorkeur aan.”
Onmiddellijke stappen voor organisaties
Organisaties die Node.js gebruiken, moeten dit als een actief incident behandelen totdat schone systemen zijn bevestigd. De blootstellingsperiode viel tijdens de piekuren van de ontwikkeling, en CI/CD-pijplijnen hebben mogelijk automatisch de gecompromitteerde versies opgehaald.
De volgende stappen zijn cruciaal:
- Controleer op blootstelling: Zoek in lockfiles en CI-logboeken naar de kwaadaardige
axios-versies (1.14.1,0.30.4) of de verborgen afhankelijkheid (plain-crypto-js). - Afhankelijkheden vastzetten: Onmiddellijk vastmaken aan bekende goede versies (
[email protected]of[email protected]). - Ga uit van een compromis: Herbouw getroffen machines vanuit een bekende goede staat en roteer alle toegankelijke inloggegevens (npm-tokens, AWS-sleutels, SSH-sleutels, CI/CD-geheimen).
- Blokkeer Command & Control: Voeg
sfrclak.comen142.11.206.73toe aan DNS-blokkeerlijsten en firewallregels. - Scannen op artefacten: Controleer op RAT-artefacten op getroffen systemen (zie het originele artikel voor OS-specifieke locaties).
Het grotere probleem: de kloof in referenties blijft open
De ‘axios’-inbreuk onderstreept een kritieke tekortkoming in de softwaretoeleveringsketen: de afhankelijkheid van individuele beheerdersaccounts als het ultieme vertrouwensanker. Ondanks de inspanningen van de industrie om de beveiliging te verbeteren, blijft het compromitteren van inloggegevens de belangrijkste aanvalsvector. Totdat npm een verplichte herkomstverklaring of ondertekening door meerdere partijen afdwingt, zal het ecosysteem kwetsbaar blijven.
Zoals Baer concludeert: “Het compromitteren van inloggegevens is het terugkerende thema bij NPM-inbreuken… We beperken de risico’s. We elimineren deze niet.” De onderhouder van axios volgde de beste praktijken, maar een verouderd token ondermijnde al deze inspanningen. Het fundamentele probleem zijn niet alleen zwakke wachtwoorden; het is een structurele fout waarbij verouderde authenticatiemethoden stilletjes de moderne beveiligingsmaatregelen overheersen.
