Start/Stimmung/Markt/Axios Supply-Chain-Angriff: RAT ueber gekaperten Maintainer-Account
2. April 2026

Axios Supply-Chain-Angriff: RAT ueber gekaperten Maintainer-Account

Am 31. Maerz 2026 wurden zwei Versionen der Axios-Bibliothek -- dem meistgenutzten HTTP-Client im JavaScript-Oekosystem mit ueber 100 Millionen woechentlichen npm-Downloads -- mit Malware kompromittiert. Ein Remote Access Trojan (RAT) wurde in die Pakete eingeschleust.

Der Angriff

Der Angriffsvektor war ein gekaperter Maintainer-Account. Ueber diesen wurden die schadhaften Versionen direkt auf npm publiziert, ohne dass ein entsprechendes GitHub Release existierte. Die Malware installierte einen RAT, der Angreifern persistenten Fernzugriff auf betroffene Systeme ermoeglichte und Credentials abgriff.

Das Axios-Team hat die betroffenen Versionen als deprecated markiert und untersucht den Vorfall. Sicherheitsexperten betonen, dass der Angriff durch Trusted Publishing haette verhindert werden koennen -- ein Mechanismus, der Paket-Publikation ausschliesslich ueber GitHub Actions erlaubt statt ueber individuelle Maintainer-Tokens.

Muster: AI-Oekosystem-Abhaengigkeiten als Angriffsvektor

Der Axios-Angriff folgt dem gleichen Muster wie die LiteLLM-Kompromittierung eine Woche zuvor: Ein kompromittierter Zugang zu einer Paketregistry ermoeglicht das Einschleusen von Schadcode in eine weit verbreitete Bibliothek. Die Schaeden kaskadieren durch die gesamte Abhaengigkeitskette.

Axios ist dabei besonders brisant, weil es als HTTP-Client in praktisch jeder AI-Anwendung steckt, die mit APIs kommuniziert -- von LLM-Integrationen ueber Embedding-Pipelines bis zu Agent-Frameworks. Wer einen HTTP-Client kompromittiert, sitzt an der Stelle, durch die saemtliche API-Keys, Tokens und Nutzerdaten fliessen.

Zusammen mit dem LiteLLM-Vorfall (PyPI) und dem Mercor-Datendiebstahl zeichnet sich ein klares Bild: Die Infrastruktur des AI-Oekosystems wird systematisch zum Ziel von Supply-Chain-Angriffen. Die Angriffsoberflaeche waechst mit jeder neuen Abhaengigkeit.

Update 3. April: Gezieltes Social Engineering

Simon Willison berichtet ueber die detaillierte Angriffskette: Der Maintainer Jason Saayman wurde individuell angegriffen. Die Angreifer klonten die Identitaet eines Firmengruenders, erstellten einen gefaelschten Slack-Workspace mit ueberzeugenden Team-Profilen und schickten eine Microsoft-Teams-Einladung. Ein als Teams-Update getarnter Remote Access Trojan (RAT) wurde installiert, der die Credentials fuer Package-Publishing stahl.

Die Taktiken entsprechen dokumentierten Methoden der Gruppe UNC1069 und waren laut Analyse "extrem gut koordiniert und professionell ausgefuehrt". Der Angriff nutzt den Zeitdruck aus, den Entwickler bei kurzfristigen Meeting-Einladungen mit Software-Installation empfinden -- ein psychologischer Vektor, gegen den technische Schutzmassnahmen allein nicht helfen.

Update 3. April: Trivy und OpenClaw -- Sicherheitstools selbst kompromittiert

Waehrend der Axios-Nachbereitung wurden zwei weitere schwerwiegende Supply-Chain-Angriffe bekannt, die das Bild grundlegend veraendern: Diesmal trifft es nicht nur Bibliotheken, sondern die Sicherheitstools selbst.

Trivy: Der Waechter wird kompromittiert

Am 19. Maerz 2026 wurde eine schadhafte Version v0.69.4 von Trivy veroeffentlicht -- dem beliebtesten Open-Source-Sicherheitsscanner im Container- und Kubernetes-Umfeld. Der Schadcode exfiltrierte sensible Daten an eine von Angreifern kontrollierte Domain. Der Angriffsweg folgt einem inzwischen bekannten Muster: kompromittierte Credentials kombiniert mit manipulierten automatisierten Release-Prozessen.

Organisationen mit automatisierten CI/CD-Pipelines installierten die schadhafte Version unwissentlich -- genau die Organisationen also, die Sicherheits-Best-Practices befolgen und Updates automatisieren. Die Angreifer loeschten ausserdem fruehzeitige Disclosure-Diskussionen auf GitHub und fluteten betreffende Threads mit Spam, um die Entdeckung zu verzoegern.

Die politische Dimension: CERT-EU macht den Trivy-Angriff fuer eine Datenpanne bei Europa.eu verantwortlich. Ein Sicherheitsscanner, der eigentlich Schwachstellen aufdecken soll, wurde selbst zur Einfallspforte in europaeische Regierungsinfrastruktur.

OpenClaw: AI-Coding-Framework als Trojaner

OpenClaw, ein Open-Source AI-Coding-Framework, wurde ebenfalls kompromittiert. Sysadmins berichten auf Reddit von gehackten Systemen, auf denen OpenClaw in der vergangenen Woche betrieben wurde. Marc Andreessen diskutierte die Risiken im Latent Space Podcast -- ein Zeichen dafuer, dass der Vorfall die AI-Community bis in die obersten Etagen erreicht hat.

Einordnung

Sicherheitstools selbst als Angriffsflaeche -- das ist die neue Qualitaetsstufe dieser Angriffswelle. Trivy als Security-Scanner betroffen zu sehen, ist besonders brisant: Wer den Waechter kompromittiert, untergraebt das gesamte Verteidigungssystem. Organisationen, die glauben, mit automatisierten Security-Scans auf der sicheren Seite zu sein, werden zum primaeren Ziel.

Zusammen mit Axios und LiteLLM ergibt sich ein klares Bild: Supply-Chain-Angriffe auf AI-Infrastruktur werden breiter, professioneller und zielen zunehmend auch auf die Tools, die eigentlich vor solchen Angriffen schuetzen sollen. Die Angriffsoberflaeche ist nicht mehr nur der Produktionscode -- sie ist das gesamte Werkzeug, mit dem Entwickler und Sicherheitsteams arbeiten.

Schutzmassnahmen

Quellen

Nach oben