Schlimme News für SyAdmin und Programmierer – NPM wurde gehackt

von Eric-Oliver Mächler | Apr. 1, 2026 | Allgemein | 0 Kommentare

Schlagwörter: Hack - Hacks - npm

Uiii, ich wette, heute haben ein paar Menschen wie Systemadministratoren und Programmierer einen echt schlechten Tag.

Video

Was ist passiert?

Wer hier in meinem Blog schon länger mitliest, der weiss, dass ich kein Fan des modernen Webdesigns bin. Als ich damit angefangen habe (ja, im letzten Jahrtausend), wurde alles von Hand programmiert und man wusste immer, was in eine Webseite eingebaut wurde.

Heute ist es aber so, dass die Entwickler viele Wünsche erfüllen wollen, es aber selbst nicht programmieren können oder wollen. Als Lösung lädt man dann eine Funktion aus einer fremden Quelle hinzu. Am Schluss hat man dann viele Verlinkungen zu diesen fremden Bibliotheken. Diese fremden Bibliotheken werden dann natürlich weiterentwickelt, und wenn so eine Bibliothek gehackt worden ist, dann hat man Malware in der Webseite.

Übersetzt für WordPress-Heinis wäre das: Ihr habt eine Webseite und ladet euch viele Plugins aus dem Repo hinzu. Nun wurde ein Plugin-Entwickler gehackt und sein Plugin ist nun verseucht, und jetzt habt ihr ein Update geladen und damit eure Webseite verseucht …

Das nennt man dann eine sogenannte Supply-Chain-Attack.

Genau das ist Axios bei NPM passiert – sein Account wurde gehackt und jemand hat ein RAT (Remote Access Trojaner) installiert. Dummerweise ist Axios Teil eines Core-Moduls, das über 100’000’000 Mal wöchentlich heruntergeladen wird. Ja, die Zahl habt ihr richtig gelesen: über 100 Millionen Mal in der Woche …

Jemand hat also Zugriff auf Axios bekommen und – ich nenne es jetzt – Malware installiert. Betroffen sind axios@1.14.1 und axios@0.30.4.

Wer also diese Versionen installiert hat, hat jetzt ein Problem. Denn nun hat dieser Hacker Zugang zu euren AWS-Zugangsdaten, OpenAI API-Keys – halt alles, was viele in ein .env-File packen.

Was hat dieser RAT angerichtet? Wenn ein System verseucht worden ist, wird ein neues Script namens plain-crypo-js geladen, das sich am Schluss selbst löscht, aber dem Hacker Zugang zu eurem System verschafft. Das passiert innert Sekunden und man merkt gar nichts davon.

Nicht nur Node.js-Entwickler haben jetzt ein Problem, sondern auch WordPress-Programmierer, die z. B. die neuen Gutenberg-Blöcke programmieren oder DIVI-/Elementor-Module entwickeln. Die alle verwenden NPM, um Dinge auf ihrem System zu installieren, damit sie programmieren können. Und die haben sich vermutlich auch etwas eingefangen. Die eigentlichen Plugins sollten aber nicht betroffen sein – da haben wir WP-User mal Glück gehabt.

Wer jetzt wissen will, soll in einem Projekt mal in der package.json nachschauen, ob er da etwas von axios installiert hat und ob eine der beiden verseuchten Versionen installiert ist. Oder ihr sucht global in eurem System, z. B. mit dem folgenden Befehl.

npm list -g axios

Ich habe natürlich auch bei mir nachgeschaut, da ich vor Kurzem ja OpenClaw aktualisiert habe – aber ich hatte Glück, ich war nicht betroffen.

oli@pi:~ $ npm list -g axios
/home/oli/.npm-global/lib
└─┬ openclaw@2026.3.28
  └─┬ @line/bot-sdk@10.6.0
    └── axios@1.14.0
../openclaw/dist/extensions/feishu/node_modules/axios/package.json ->   "version": "1.13.6",
../openclaw/dist/extensions/slack/node_modules/axios/package.json ->   "version": "1.14.0",
../openclaw/node_modules/axios/package.json ->   "version": "1.14.0",

Fazit:

Jetzt, wo viele Tools zusätzlich noch weitere Bibliotheken zuladen, wird diese Art von Hack garantiert zunehmen – denn solche Hacks sind für Hacker viel einfacher. Sie müssen nicht mehr tausende von Computern einzeln verseuchen, sondern nur noch einmal angreifen, und der verteilt die „Krankheit“ weiter.

Was lernen wir daraus? Baut keine Webseiten / Tools, die NPM verwenden?
Ja, das wäre die Lösung in einer perfekten Welt, leider ist das nicht machbar. Ich kann euch hier keinen guten Rat geben, denn als normaler Programmierer in einer Firma ist man dem ausgeliefert. Viele wissen gar nicht mehr, wie man richtig programmiert, sondern wählen den bequemen, schnellen Weg und installieren sich etwas Zusätzliches. Aber ein Verzicht auf diese Bibliotheken ist auch keine Lösung, wenn – wie hier – ein Core-System betroffen ist.

Den einzigen Rat, den ich euch geben kann, ist: Seid vorsichtig, was ihr hinzuladet.

Mehr Infos

Hier findet ihr mehr Infos zu diesem Hack:
Axios-NPM-Paket kompromittiert: Supply-Chain-Angriff mit RAT-Malware auf Millionen Entwickler

Golem: Populärer HTTP-Client Axios kompromittiert

Zusatz

Nein, das ist kein 1. April Scherz!!

0 Kommentare

Kommentar Schreiben

Du kannst auf Fediverse-Profile verlinken, indem du fl:@benutzername in deinem Kommentar eingibst.

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Translate:

Webinare

DIVI Theme

Hosting