Supply-Chain-Angriff zielt auf axios-Paket ab

Ein Supply-Chain-Angriff hat die axios-Version 1.14.1 kompromittiert, die stillschweigend [email protected] als Abhängigkeit einbindet. Dieses Paket ist ein verschleierter RAT-Dropper (Remote Access Trojan). NPM hat die bösartige Version entfernt, aber Entwickler, die sie während des Zeitfensters der Anfälligkeit installiert haben, könnten infiziert sein.

KI-unterstützte Entwicklungsabläufe gefährdet

Der Angriff zielt speziell auf Entwickler ab, die KI-Coding-Assistenten wie Claude verwenden. Die Quelle weist darauf hin, dass Entwickler bei der KI-gestützten Programmierung oft die KI die Paketinstallation überlassen, ohne die package.json-Diffs zu prüfen oder zu überwachen, welche Abhängigkeiten eingebunden werden. Angreifer nutzen dieses Vertrauen in automatisierte Workflows aus, bei denen Entwickler Projekte erstellen und Installationen ohne manuelle Überprüfung durchführen.

Sofortige Erkennungs- und Behebungsmaßnahmen

Führen Sie diese Befehle aus, um auf Infektionen zu prüfen:

# Überprüfen Sie Ihre Lockfile
grep -r "plain-crypto-js" package-lock.json
grep -r "[email protected]" package-lock.json

Prüfen Sie auf Persistenz-Artefakte
ls -la /library/caches/com.apple.act.mond  # macOS
ls /tmp/ld*  # Linux

Wenn Sie das bösartige Paket finden:

• Setzen Sie sofort auf [email protected] zurück
• Rotieren Sie alle Schlüssel und Zugangsdaten (AWS-Zugangsdaten, API-Schlüssel usw.)
• Überprüfen Sie alle Lockfiles in Ihren Projekten

Präventive Maßnahmen

Die Quelle empfiehlt, Versionen festzulegen und manuell zu überprüfen, welche Abhängigkeiten KI-Assistenten einbinden. Entwickler sollten bei automatisierten Installationen langsamer vorgehen und tatsächlich lesen, welche Pakete ihren Projekten hinzugefügt werden.