Malware auf npm: HTTP-Client axios lädt Backdoor für Windows, macOS und Linux

KI-Zusammenfassung

Angreifer der nordkoreanischen Gruppe UNC1069 übernahmen den npm-Maintainer-Account des populären HTTP-Clients axios und veröffentlichten am 30. März die manipulierten Versionen 1.14.1 und 0.30.4. Die Pakete laden über den Postinstall-Hook und die Dependency „plain-crypto-js@4.2.1“ die Backdoor WAVESHAPER.V2, die Google Threat Intelligence als Weiterentwicklung der Februar-2026-WAVESHAPER-Backdoor identifiziert. Die Malware installiert je nach Betriebssystem ein PowerShell-Skript (Windows), ein Mach-O-Binary (macOS) oder eine Python-Backdoor (Linux) und kontaktiert die C2-Server 142.11.206.73 und 23.254.167.216. npm stellte die saubere Version 1.14.0 wieder bereit; Nutzer müssen prüfen, ob die infizierten Versionen installiert wurden.