Axios-lek: Kwaadaardige trojan treft Windows, macOS en Linux

Het incident, dat bekend staat als een 'supply chain compromise', vond plaats op 31 maart 2026. Axios is een fundamentele bouwsteen voor talloze webapplicaties en wordt wekelijks miljoenen keren gedownload. De aanval was dan ook uiterst geraffineerd en gericht op maximale impact.

Social Engineering en malware

De aanvallers kregen toegang tot de pc van Jason Saayman, de hoofdbeheerder van axios, via een gerichte 'social engineering'-campagne in combinatie met malware. Hierdoor kregen zij de inloggegevens voor zijn npm-account in handen. Gewapend met deze toegang publiceerden zij de geïnfecteerde versies: axios@1.14.1 en axios@0.30.4.

De kwaadaardige code zat verborgen in een schijnbaar onschuldige nieuwe afhankelijkheid genaamd plain-crypto-js@4.2.1. Deze 'trojan' was ontworpen om direct na installatie een achterdeur te openen op het systeem van de ontwikkelaar of de server waarop de software werd geïnstalleerd.

Getroffen?

Ontwikkelaars en systeembeheerders wordt dringend verzocht hun systemen te controleren. De geïnfecteerde versies waren ongeveer drie uur live (tussen 00:21 en 03:15 UTC op 31 maart).

Controleer uw lockfile: Zoek in package-lock.json of yarn.lock naar de volgende tekst:

grep -E "axios@(1\.14\.1|0\.30\.4)|plain-crypto-js" package-lock.json yarn.lock

Indien u getroffen bent:

• Downgrade direct naar axios@1.14.0 (of 0.30.3).
• Verwijder de map node_modules/plain-crypto-js/.
• Roteer ALLE geheimen, tokens en inloggegevens op de getroffen machine. Beschouw de machine als volledig gecompromitteerd.
• Controleer netwerklogs op verbindingen naar sfrclak[.]com of 142.11.206.73 op poort 8000.

Snelle reactie van de Community

De aanval werd relatief snel ontdekt door de 'open source community'. Al snel na de publicatie van de kwaadaardige versies verschenen de eerste meldingen op GitHub. De aanvaller probeerde deze meldingen nog te verwijderen met het gecompromitteerde account, maar de community zette door.

DigitalBrainJS, een medewerker van het axios-project, speelde een cruciale rol door snel een 'Pull Request' in te dienen om de gecompromitteerde versies als verouderd ('deprecated') te markeren. Hij waarschuwde de community en nam direct contact op met de beveiligingsteams van npm. Dankzij deze snelle actie werden de kwaadaardige versies binnen enkele uren van het npm registry verwijderd.

Geleerde lessen en structurele veranderingen

In een 'Post Mortem'-verslag erkent Jason Saayman de ernst van de situatie. Hij bevestigt dat alle apparaten van de hoofdbeheerder volledig zijn gewist en dat alle inloggegevens zijn gereset.

Om herhaling te voorkomen, worden er structurele veranderingen doorgevoerd in het publicatieproces van axios:

• OIDC Flow: Er wordt overgestapt op een 'OpenID Connect' (OIDC) flow voor het publiceren van updates. Dit betekent dat het publiceren niet langer direct vanuit een persoonlijk account gebeurt, maar via een beveiligde, geautomatiseerde pipeline (zoals GitHub Actions).
• Immutable Releases: Er wordt een 'immutable release'-opzet geïmplementeerd, waardoor gepubliceerde versies niet meer achteraf gewijzigd kunnen worden.
• Verbeterde Beveiligingspostuur: Het volledige beveiligingsbeleid wordt tegen het licht gehouden en aangescherpt, inclusief de adoptie van best practices voor GitHub Actions.

"Dit incident onderstreept de noodzaak van continue monitoring, sterke accountbeveiliging en waakzaamheid over zowel de projectinfrastructuur als de individuele omgevingen van beheerders," aldus Saayman. Hij benadrukt dat open source beheerders van veelgebruikte pakketten actieve doelwitten zijn voor geavanceerde aanvallen en dat hyper-waakzaamheid geboden is.