Axios, een van de populairste JavaScript-bibliotheken, kan gecompromitteerd zijn en betrokken zijn bij een aanval op crypto-wallets. De npm-pakketaanval komt steeds vaker voor en richt zich rechtstreeks op projecten, ontwikkelaars en eindgebruikers.
Een Axios npm-pakket werd gepubliceerd naar de officiële JavaScript-bibliotheek en enkele uren later weer verwijderd. On-chain beveiligingsexperts onderschepten de aanval, die ongeveer drie uur actief was.
De npm-pakketten werden gecompromitteerd via de inloggegevens van @jasonsaayman, terwijl onderzoekers nog steeds op zoek waren naar tekenen dat het account was gecompromitteerd. De getroffen pakketten werden geïdentificeerd als [email protected] en [email protected].
Zoals Cryptopolitan eerder rapporteerde, richten npm-aanvallen zich vaak op crypto-wallets en zijn ze bijzonder riskant voor gedecentraliseerde projecten met grote teambezittingen.
Wat gebeurde er bij de Axios npm-aanval?
StepSecurity was een van de eersten die het probleem identificeerde. Twee kwaadaardige versies van de Axios HTTP-clientbibliotheek werden gepubliceerd via de gecompromitteerde inloggegevens van een hoofdbeheerder van Axios, waarbij de normale publicatiepijplijn op GitHub werd omzeild.
Volgens StepSecurity was dit de meest geavanceerde aanval tegen een veelgebruikt top-10 npm-pakket. De kwaadaardige pakketversie injecteert een nieuwe afhankelijkheid, [email protected], die niet is geïmporteerd in de axios-broncode. De afhankelijkheid voert een post-installatiescript uit, dat actief is op alle besturingssystemen.
Na gebruik van de npm wordt de client geïnfecteerd met een remote access trojan dropper, die een actieve server heeft en de payloads aflevert. De malware verwijdert zichzelf ook en vervangt het verdachte .json-bestand door een schone versie om detectie te ontwijken.
Welke soorten projecten werden getroffen?
De npm-pakketten behoorden tot de populairste, met maximaal 100 miljoen wekelijkse downloads. Op dit moment zijn er echter geen meldingen van ongeautoriseerde crypto-bewegingen. Eerder leidde een npm-aanval tot slechts $1.000 aan cryptoverliezen van obscure tokens.
De enige manier om kwaadaardige npm te beperken is door versies bij te houden en geen geautomatiseerde upgrades toe te staan, of nieuwe versies te controleren op mogelijke kwaadaardige uploads.
Onderzoekers ontdekten ook twee extra kwaadaardige pakketten die op dezelfde manier payloads afleveren – @shadanai/openclaw en @qqbrowser/openclaw-qbot. De aanval volgt slechts een week na de LiteLLM kwaadaardige code-injectie.
Er zijn geen meldingen van Web3- of OpenClaw-projecten die getroffen zijn of crypto die gestolen is, gedurende de aanval. Er werden echter waarschuwingen uitgegeven dat npm-aanvallen nu de norm kunnen worden, hetzij via gestolen inloggegevens of ongeautoriseerde uitgevers. De dreiging volgt eerdere waarschuwingen over kwaadaardige code die gebruikmaakt van het OpenClaw-skillplatform.
De pakketten zijn niet beperkt tot Web3- of botprojecten en kunnen alle payloads beïnvloeden die gekoppeld zijn aan crypto-wallets. Het verlies van vertrouwen in npm en pip-installaties voor Python kan ook het algemene vertrouwen in het bibliotheekecosysteem aantasten, met oproepen voor een veiliger uploadpad.
Het gebruik van AI-agents kan ook leiden tot willekeurig pakketdownloaden, waardoor de dreiging zich verspreidt. De daadwerkelijke effecten op crypto-wallets zijn mogelijk niet onmiddellijk, maar ze stellen wel mogelijk walletgegevens bloot.
Je bank gebruikt jouw geld. Jij krijgt de restjes. Bekijk onze gratis video over hoe je je eigen bank wordt
Bron: https://www.cryptopolitan.com/supply-chain-attack-axios-crypto-wallets/
