Advarsel om ondsindede Axios-udgivelser
Slow Fog har flaget ondsindede Axios-udgivelser, der trækker malware fra pakken plain-crypto-js ind, hvilket udsætter kryptoudviklere for cross-platform RATs (Remote Access Trojans) og stjålne legitimationsoplysninger via npm. Blockchain-sikkerhedsfirmaet Slow Fog har udsendt en presserende sikkerhedspåmindelse efter nyligt offentliggjorte versioner af Axios, der trak en ondsindet afhængighed, plain-crypto-js, ind. Dette gjorde en af JavaScripts mest anvendte HTTP-klienter til et forsyningskædevåben mod kryptoudviklere.
Konsekvenser af kompromitteringen
Axios har mere end 80 millioner ugentlige downloads på npm, hvilket betyder, at selv en kortvarig kompromittering kan få alvorlige konsekvenser for wallet-backends, handelsbots, børser og DeFi-infrastruktur bygget på Node.js. I sin rådgivning advarede Slow Fog om, at “brugere, der installerede Axios via npm install -g, potentielt er udsatte,” og anbefalede øjeblikkelig rotation af legitimationsoplysninger samt en grundig undersøgelse af værtsiden for tegn på kompromittering.
Angrebets natur
Angrebet er baseret på en falsk kryptografipakke, plain-crypto-js, som stille og roligt tilføjes som en ny afhængighed og kun bruges til at udføre et obfuskeret postinstallationsscript, der frigiver en cross-platform RAT, der målretter Windows, macOS og Linux-systemer. Sikkerhedsfirmaet StepSecurity forklarede, at “hverken den ondsindede version indeholder en eneste linje af ondsindet kode inde i Axios selv,” og at i stedet “begge injicerer en falsk afhængighed, plain-crypto-js, hvis eneste formål er at køre et postinstallationsscript, der implementerer en cross-platform RAT.”
Reaktion og anbefalinger
npm har nu fjernet de ondsindede versioner og tilbageført Axios-opløsningen til 1.14.0, men ethvert miljø, der trak 1.14.1 eller 0.3.4 under angrebsvinduet, forbliver i risiko, indtil hemmeligheder er roteret og systemer er genopbygget. Kompromitteringen minder om tidligere npm-hændelser, der direkte målrettede kryptobrugere, herunder en kampagne i 2025, hvor 18 populære pakker som chalk og debug stille og roligt udskiftede wallet-adresser for at stjæle midler.
Ledger CTO Charles Guillemet advarede om, at “de berørte pakker allerede er blevet downloadet over 1 milliard gange.”
Forskere har også dokumenteret npm-malware, der stjæler nøgler fra Ethereum, XRP og Solana wallets, og SlowMist har anslået, at kryptohacks og svindel — herunder bagdørede pakker og AI-assisterede forsyningskædeangreb — forårsagede mere end 2,3 milliarder dollars i tab i første halvdel af 2025 alene.
Afsluttende råd
For nu er Slow Fogs råd klart: nedgrader Axios til 1.14.0, revider afhængigheder for spor af plain-crypto-js eller openclaw, og antag, at enhver legitimationsoplysning berørt af disse miljøer er kompromitteret.
I en tidligere crypto.news-historie om JavaScript-forsyningskædeangreb advarede Ledgers Guillemet om, at kompromitterede npm-pakker med mere end 2 milliarder ugentlige downloads udgjorde en systemisk risiko for dApps og wallets bygget på Node.js.
