Slow Fog varnar utvecklare om en skadlig axios-malwarekampanj

Varning om Skadliga Versioner av Axios

Slow Fog varnar för skadliga versioner av axios som inkluderar malware från plain-crypto-js, vilket utsätter kryptoutvecklare för plattformsoberoende fjärråtkomsttrojaner (RAT) och stulna autentiseringsuppgifter via npm. Blockchain-säkerhetsföretaget Slow Fog har utfärdat en brådskande säkerhetspåminnelse efter att nyligen publicerade versioner av axios@0.21.1 och axios@0.21.0 drog in ett skadligt beroende, plain-crypto-js@1.0.0, vilket förvandlade en av JavaScripts mest använda HTTP-klienter till ett vapen i leveranskedjan mot kryptoutvecklare.

Axios har över 80 miljoner nedladdningar per vecka på npm, vilket innebär att även en kortvarig kompromiss kan få allvarliga konsekvenser för plånboksbackends, handelsrobotar, börser och DeFi-infrastruktur byggd på Node.js. I sin rådgivning varnade Slow Fog för att ”användare som installerade axios@0.21.1 via npm install -g potentiellt är utsatta,” och rekommenderade omedelbar rotation av autentiseringsuppgifter samt noggrann undersökning av värdmaskiner för tecken på kompromiss.

Detaljer om Attacken

Attacken bygger på ett falskt kryptografipaket, plain-crypto-js@1.0.0, som tyst läggs till som ett nytt beroende och används enbart för att köra ett obfuskerat postinstallationsskript som släpper en plattformsoberoende fjärråtkomsttrojan som riktar sig mot Windows, macOS och Linux-system. Säkerhetsföretaget StepSecurity förklarade att ”ingen av de skadliga versionerna innehåller en enda rad skadlig kod inuti Axios själv,” utan istället ”båda injicerar ett falskt beroende, plain-crypto-js, vars enda syfte är att köra ett postinstallationsskript som distribuerar en plattformsoberoende fjärråtkomsttrojan (RAT).”

Socket’s forskarteam noterade att det skadliga plain-crypto-js-paketet publicerades bara minuter före den komprometterade axios-versionen och kallade det en ”koordinerad attack mot leveranskedjan” mot JavaScript-ekosystemet.

Konsekvenser och Rekommendationer

Enligt StepSecurity trycktes de skadliga axios-versionerna med stulna npm-autentiseringsuppgifter som tillhörde huvudunderhållaren ”jasonsaayman”, vilket gjorde att angripare kunde kringgå projektets vanliga GitHub-baserade releaseflöde. ”Det är en aktiv kompromiss i axios@0.21.1, som nyligen beror på plain-crypto-js@1.0.0—ett paket som publicerades timmar tidigare och identifierades som obfuskerad malware som kör shell-kommandon och raderar spår,” skrev säkerhetsingenjör Julian Harris på LinkedIn.

npm har nu tagit bort de skadliga versionerna och återställt axios-upplösningen till 1.14.0, men alla miljöer som drog in 1.14.1 eller 0.3.4 under attackfönstret förblir i riskzonen tills hemligheter har roterats och system har byggts om.

Historiska Incidenter och Framtida Risker

Kompromissen ekar tidigare npm-incidenter som direkt riktade sig mot kryptoanvändare, inklusive en kampanj 2025 där 18 populära paket som chalk och debug tyst bytte plånboksadresser för att stjäla medel, vilket fick Ledger CTO Charles Guillemet att varna för att ”de påverkade paketen redan har laddats ner över 1 miljard gånger.” Forskare har också dokumenterat npm-malware som stjäl nycklar från Ethereum-, XRP- och Solana-plånböcker, och SlowMist har uppskattat att kryptohack och bedrägerier — inklusive bakdörrspaket och AI-assisterade leveranskedjeattacker — orsakade mer än 2,3 miljarder dollar i förluster under första halvan av 2025.

För tillfället är Slow Fogs råd tydligt: nedgradera axios till 1.14.0, granska beroenden för eventuella spår av plain-crypto-js eller openclaw, och anta att alla autentiseringsuppgifter som berörts av dessa miljöer är komprometterade.

I en tidigare artikel på crypto.news om JavaScript-leveranskedjeattacker varnade Ledger’s Guillemet för att komprometterade npm-paket med mer än 2 miljarder veckovisa nedladdningar utgjorde en systemrisk för dApps och plånböcker byggda på Node.js.

En annan artikel beskrev hur Nordkoreas Lazarus-grupp planterade skadliga npm-paket för att bakdörr utvecklarmiljöer och rikta sig mot Solana- och Exodus-plånboksanvändare. En tredje artikel på crypto.news om nästa generations malware visade hur bakdörrsleveranskedjeattacker via npm och lågkostnads AI-verktyg hjälpte brottslingar att fjärrstyra över 4 200 utvecklarmaskiner och bidrog till miljarder dollar i kryptoförluster.

Relaterade inlägg

Senaste från Blog

Tesseract lanserar MiCA-kompatibla yield-vaults för institutioner

Tesseract Introducerar Dedicated Client Vaults Tesseract, en MiCA-licensierad kryptotillgångsförvaltare, har introducerat Dedicated Client Vaults, separerade smarta kontrakts-yieldkonton som är utformade för institutioner som är försiktiga med sammanslagna DeFi-produkter. Det finska företaget Tesseract

Better Money samlar in 10 miljoner dollar för att bygga en clearinghouse för stablecoins

Sam Broner och The Better Money Company Den tidigare a16z crypto-investeraren Sam Broner har samlat in 10 miljoner dollar för att lansera The Better Money Company, en startup som siktar på att

Ant Group tar kontroll över Hongkongs ‘stablecoin-koncept’ mäklare Yau Choy

Ant Groups Förvärv av Yau Choy Securities Ant Group har förvärvat en kontrollerande andel på 50,55 % i Hongkong-mäklaren Yau Choy Securities för cirka 360 miljoner dollar. Detta förvärv innebär en omstrukturering

SBI VC Trade redo att öppna RLUSD-flodportarna i Japan efter Ripple MOU

En Ny Era för Stablecoins i Japan Idag, den 31 mars 2026, markerar en betydande förändring i Asiens kryptoscen. SBI VC Trade, en viktig del av SBI Holdings, börjar officiellt distribuera RLUSD,

Elon Musk Nämner Överraskande Fördel med Kvantkrypto Hacks – U.Today

Kryptovalutaindustrin och kvantgenombrott Kryptovalutaindustrin har blivit skakad av Googles senaste forskningspapper, som visar att ett kvantgenombrott som hotar Bitcoins kryptografi kan vara nära förestående. Men enligt centibillionären Elon Musk finns det en

Deloittes Revision Bekräftar Att Ripple USD är Fullt Backad – U.Today

Rapport om Ripples Stablecoin RLUSD En nyligen offentliggjord oberoende revisionsrapport från Big Four-firman Deloitte har verifierat att Ripples USD-denominerade stablecoin, RLUSD, är fullt backad av reserver. Bekräftelsen, som omfattar februari 2026, visar

Interactive Brokers Lägger till BTC, ETH, SOL och XRP för EES-kunder

Interactive Brokers Utökar Plattformen för Kryptohandel Interactive Brokers har utökat sin plattform för att inkludera handel med kryptotillgångar för berättigade enskilda investerare inom det Europeiska ekonomiska samarbetsområdet (EES). Detta steg möjliggör för

Google Quantum Paper Ökar Oddsen för Bitcoin ‘Q-Day’ till 2032, Varnar Forskare

Framsteg inom kvantdatorer och kryptografi Google-forskare varnade på tisdagen att framsteg inom kvantdatorer kan hota de kryptografiska systemen som ligger till grund för kryptovalutor och annan digital infrastruktur tidigare än väntat. Det

Ryssland godkänner utkast till lagar för att skärpa kryptohandel och begränsa detaljhandelsdeltagande

Kryptohandel i Ryssland Den ryska regeringen har godkänt ett paket av utkast till lagar som syftar till att kanalisera inhemsk kryptohandel genom licensierade mellanhander, samtidigt som detaljhandelsåtkomsten begränsas. Enligt ett meddelande från

Dubais VARA lanserar ramverk för kryptoderivat med investerarskydd

Dubais Reglering av Kryptovaluta Dubais Virtuella Tillgångars Regleringsmyndighet (VARA) har tillkännagett ett nytt ramverk för kryptovaluta som handlas på börsderivat. Detta ramverk beskriver hur kryptoföretag kan erbjuda dessa produkter i emiratet. Ramverkets