Nieuws

Aanval op de toeleveringsketen van Axios ondermijnt het vertrouwen in npm

door Pieter Arntz | maart 31, 2026
Het logo van de Axios HTTP-client, dat bestaat uit het woord "AXIOS" in paars

Onderzoekers hebben ontdekt dat kwetsbare versies van Axios een Remote Access Trojan installeerden.

Axios is een op promises gebaseerde HTTP-client voor Node.js, in feite een hulpmiddel dat ontwikkelaars achter de schermen gebruiken om apps met het internet te laten communiceren. Axios maakt verzoeken zoals „haal mijn berichten op van de server“ of „verzend dit formulier naar de website“ bijvoorbeeld eenvoudiger en betrouwbaarder voor programmeurs, en bespaart hen de moeite om zelf veel laag-niveau netwerkcode te schrijven.

Omdat het zowel in de browser als op servers (Node.js) werkt, wordt het in veel moderne, op JavaScript gebaseerde projecten als standaardbouwsteen gebruikt. Zelfs als je Axios nooit zelf installeert, kun je er indirect mee in aanraking komen wanneer je:

  • Gebruik webapps die zijn gebouwd met frameworks zoals React, Vue of Angular.
  • Gebruik mobiele apps of desktop-apps die zijn gebouwd met webtechnologieën zoals Electron, React Native en andere.
  • Bekijk kleinere Software-as-a-Service (SaaS)-tools, beheerderspaneel of zelfgehoste diensten die zijn ontwikkeld door ontwikkelaars die voor Axios hebben gekozen.

Je zou het kunnen vergelijken met het leidingwerk in je huis. Meestal let je niet op de leidingen, maar zij zorgen ervoor dat het water terechtkomt waar je de kraan opendraait. En je hoeft niet te weten waar ze liggen, totdat er een lek ontstaat.

Wat is er gebeurd?

Door gebruik te maken van gestolen inloggegevens van een hoofdbeheerder van Axios heeft een aanvaller besmette pakketten op npm geplaatst: axios@1.14.1 en axios@0.30.4. De kwaadaardige versies voegen een nieuwe afhankelijkheid toe, plain-crypto-js@4.2.1, die nergens in de broncode van Axios wordt geïmporteerd. 

Samen worden de twee getroffen pakketten wekelijks tot wel 100 miljoen keer gedownload via npm, wat betekent dat dit enorme gevolgen heeft voor webapps, diensten en pijplijnen.

Het is belangrijk om op te merken dat de getroffen Axios-versie niet voorkomt in de officiële GitHub-tags van het project. Dit betekent dat de getroffen personen en projecten ontwikkelaars en omgevingen zijn die het commando `npm install` hebben uitgevoerd, waarbij de volgende versie werd gedownload:

  • axios@1.14.1 of axios@0.30.4of
  • de afhankelijkheid plain-crypto-js@4.2.1.

Elke workflow waarbij een van deze versies met ingeschakelde scripts is geïnstalleerd, heeft mogelijk alle ingevoerde geheimen (cloudsleutels, sleutels voor het implementeren van repositories, npm-tokens, enz.) blootgesteld aan een interactieve aanvaller, omdat het postinstall-script (node setup.js) dat automatisch wordt uitgevoerd bij `npm install`, een versleutelde dropper heeft gedownload die een platformspecifieke RAT-payload voor macOS, Windows of Linux ophaalt.

Als u een ontwikkelaar bent die Axios implementeert, moet u elke machine waarop de kwetsbare versies zijn geïnstalleerd beschouwen als mogelijk volledig gecompromitteerd en uw geheimen vernieuwen. De aanvaller heeft mogelijk toegang gekregen tot de repository, ondertekeningssleutels, API-sleutels of andere geheimen die kunnen worden gebruikt om toekomstige releases te infiltreren of uw backend en gebruikers aan te vallen.

Gebruikers van apps die met Axios zijn gebouwd, hoeven zich geen directe zorgen te maken. Als je je app alleen in een browser laadt, voer je deze RAT niet rechtstreeks via Axios uit. De infectieroute ligt in de installatie- of bouwfase, niet tijdens de uitvoering van de app.

Indicatoren van compromissen (IOC's)

Zoals de onderzoekers opmerkten, ruimt de malware-dropper zijn sporen op:

“Bij elke controle van node_modules/plain-crypto-js/package.json na de infectie zal een volledig schoon manifest te zien zijn. Er is geen postinstall-script, geen setup.js-bestand en geen enkele aanwijzing dat er ooit iets schadelijks is geïnstalleerd. Het uitvoeren van npm audit of het handmatig controleren van de map met geïnstalleerde pakketten zal de inbreuk niet aan het licht brengen.”

Waar je dan op kunt letten, zijn deze IOC’s:

Domein: sfrclak[.]com

IP-adres: 142.11.206.73

(beide geblokkeerd door Malwarebytes )

Bestanden:

  • macOS: /Bibliotheek/Caches/com.apple.act.mond
  • Linux: /tmp/ld.py 
  • Windows: %PROGRAMDATA%\wt en %TEMP%\6202033.vbs/.ps1, die slechts kortstondig bestaan tijdens de uitvoering

Schadelijke npm-pakketten:

axios@1.14.1, SHA-256-controlesom: 2553649f2322049666871cea80a5d0d6adc700ca

axios@0.30.4, SHA-256-controlesom: d6f3f62fd3b9f5432f5782b62d8cfd5247d5ee71

plain-crypto-js@4.2.1 -SHA-256-controlesom: 07d889e2dadce6f3910dcbc253317d28ca61c766

We rapporteren niet alleen over bedreigingen - we verwijderen ze ook

Cyberbeveiligingsrisico's mogen zich nooit verder verspreiden dan een krantenkop. Houd bedreigingen van uw apparaten door Malwarebytes vandaag nog te downloaden.

Over de auteur

Pieter Arntz

Pieter Arntz

Onderzoeker op het gebied van malware-informatie

Was 12 jaar achtereen een Microsoft MVP in consumentenbeveiliging. Spreekt vier talen. Ruikt naar rijke mahonie en in leer gebonden boeken.

LAATSTE ARTIKELEN

Nieuws
mac ClickFix-bescherming

Nieuwe beveiligingsfunctie in macOS waarschuwt gebruikers voor mogelijke ClickFix-aanvallen

Maart 30, 2026

Apple heeft een extra beveiligingslaag tegen ClickFix-aanvallen geïntroduceerd, uitsluitend voor macOS Tahoe 26.4 en later

Nieuws
week in veiligheid

Een week in de beveiliging (maart 23 – maart 29)

Maart 30, 2026

Een overzicht van de onderwerpen die we hebben behandeld in de week van 23 tot 29 maart van 2026

Mobiel
cloudtelefoon met een masker

Criminelen huren virtuele telefoons om de beveiliging van banken te omzeilen

Maart 27, 2026

Het is geen echte telefoon, maar wel goed genoeg om je bank te misleiden. Onderzoekers waarschuwen dat criminelen virtuele apparaten gebruiken om fraudecontroles te omzeilen.

Pictogram medewerkers

Medewerkers

Pictogram Bedreigingscentrum

Bedreigingscentrum

Pictogram Podcasts

Podcast

Woordenlijst

Woordenlijst

Pictogram Zwendel

Oplichting