De maintainer van het populaire npm-pakket Axios heeft bekendgemaakt hoe aanvallers zijn account konden overnemen om vervolgens malafide versies te publiceren. Het gaat om een social engineering-aanval, uitgevoerd door de Noord-Koreaanse groep UNC1069. De besmette versies installeerden een Remote Access Trojan bij slachtoffers.
Op 31 maart publiceerden aanvallers twee besmette versies van Axios via het gecompromitteerde npm-account van de voornaamste maintainer. Zoals gisteren beschreven, installeerden die versies via een nep-dependency stilletjes een cross-platform Remote Access Trojan op macOS, Windows en Linux. Axios is een HTTP client library voor Node.js en browsers met meer dan honderd miljoen wekelijkse downloads op npmjs.com.
Hoe dat account precies in handen van de aanvallers belandde, heeft de maintainer nu zelf uitgelegd op GitHub. “Helaas ben ik slachtoffer geworden van een vrij bekende (maar niet voor mij) social engineering-aanval, waarbij een groep zich voordeed als iemand die geïnteresseerd is in het samenwerken aan open source of iets dergelijks. Dit zorgde ervoor dat mijn account werd gehackt.” Verdere technische details over de aanval zijn niet gegeven.
UNC1069 actief sinds 2018
Volgens Google is UNC1069 verantwoordelijk voor de aanval. Die groep is financieel gemotiveerd en richt zich voornamelijk op cryptobedrijven, zo beschrijft Google in een analyse die in februari verscheen. De groep zou al actief zijn sinds 2018. Uit datzelfde rapport bleek dat UNC1069 inmiddels ook AI-tools en deepfakes inzet voor social engineering-aanvallen, onder meer via nep-Zoom-meetings en Telegram-berichten.
Het patroon van het kapen van maintaineraccounts om malafide npm-packages te publiceren is niet nieuw. In september 2025 werden de populaire packages Chalk en Debug al gecompromitteerd na een phishingaanval op een maintaineraccount, zo meldden we toen.
Maatregelen na de hack
Na de ontdekking van de hack heeft de Axios-maintainer zijn systemen geformatteerd en alle accounts gereset. “Ook heb ik maatregelen genomen om mijn eigen beveiligingsgewoontes te verbeteren. Ik zal vanaf nu ook veel wantrouwender zijn over alle vragen rond open source.” Daarnaast kondigt hij aan een FIDO security key te gaan gebruiken.
In 2023 waarschuwde GitHub al voor dit type social engineering-aanvallen, waarbij ontwikkelaars worden verleid tot het uitvoeren van malafide code. Microsoft herhaalde die waarschuwing een jaar later. Beide bedrijven wezen daarbij op de betrokkenheid van aan Noord-Korea gelieerde groepen.