Nieuws
image

Gehackte Axios-maintainer geeft meer details over social engineering-aanval

vrijdag 3 april 2026, 09:54 door Redactie, 11 reacties

De onlangs gehackte maintainer van het Axios-project, waardoor aanvallers besmette versies van de populaire library konden uitbrengen, heeft in een post mortem van het incident meer details over de social engineering-aanval gegeven die op hem werd uitgevoerd. Axios is een HTTP client library die applicaties onder andere gebruiken voor HTTP requests vanaf browsers en Node.js omgevingen. Applicaties gebruiken het om via HTTP met andere systemen te communiceren.

De library heeft meer dan honderd miljoen wekelijkse downloads op npmjs.com. Bij de aanval wisten de aanvallers het account van de primaire maintainer van het Axios-project te compromitteren, om vervolgens malafide versies uit te brengen. Deze versies installeerden bij gebruikers een remote access trojan (RAT). De maintainer liet eerder al op GitHub weten dat zijn account door middel van een social engineering-aanval was gecompromitteerd, maar heeft nu meer details gegeven.

De aanvallers deden zich voor als de oprichter van een bedrijf, waarbij ze voor het gebruikte profiel zowel gegevens van de echte oprichter als het echte bedrijf hadden gekloond. De aanvallers vertelden de Axios-maintainer dat ze met hem op het gebied van open source wilden samenwerken. Hiervoor werd de maintainer uitgenodigd voor een echte Slack workspace. Dit is een online omgeving waar organisaties en mensen in één plek aan projecten kunnen samewerken, communiceren en bestanden delen.

Volgens de maintainer was de Slack-omgeving zeer overtuigend opgezet, voorzien van allerlei links naar berichten op LinkedIn. Ook waren er allerlei vermoedelijk valse profielen actief, waaronder maintainers van andere opensourceprojecten. De aanvallers wilden een meeting met de Axios-maintainer via Microsoft Teams. Daarbij kreeg de maintainer een melding te zien dat software op zijn systeem verouderd was en hij iets moest installeren. De maintainer deed dit. In werkelijkheid ging het om een remote access trojan waarmee de aanvallers toegang tot zijn systeem kregen en allerlei session cookies, tokens en andere credentials konden stelen.

De gehackte maintainer wijst ook naar een beschrijving van Google van eerder dit jaar, waarin de werkwijze van de aanvallers wordt beschreven. Bij die aanvallen kregen slachtoffers tijdens de geplande videomeeting ook een melding dat er problemen waren en de gegeven instructies moesten worden opgevolgd om die te verhelpen. Het ging hierbij om een zogenoemde ClickFix-aanval. In een reactie op de post mortem van de Axios-maintainer zijn er ook screenshots gedeeld van de meldingen die slachtoffers van dit soort aanvallen te zien krijgen.

Image

Reacties (11)
Reageer met quote
03-04-2026, 11:49 door Anoniem
Slack is gesloten software. Zo wie zo nooit gebruiken.
Reageer met quote
03-04-2026, 11:52 door Anoniem
De aanvallers wilden een meeting met de Axios-maintainer via Microsoft Teams. Daarbij kreeg de maintainer een melding te zien dat software op zijn systeem verouderd was en hij iets moest installeren. De maintainer deed dit
O wat dom zeg. Zo wie zo geen gesloten teams gebruiken!
Reageer met quote
03-04-2026, 12:17 door Anoniem
Door Anoniem: Slack is gesloten software. Zo wie zo nooit gebruiken.

Door Anoniem:
De aanvallers wilden een meeting met de Axios-maintainer via Microsoft Teams. Daarbij kreeg de maintainer een melding te zien dat software op zijn systeem verouderd was en hij iets moest installeren. De maintainer deed dit
O wat dom zeg. Zo wie zo geen gesloten teams gebruiken!
Je kunt inderdaad beter vertrouwen op opensource frameworks.

O wacht even.
Reageer met quote
03-04-2026, 13:08 door Anoniem
Door Anoniem:
Door Anoniem: Slack is gesloten software. Zo wie zo nooit gebruiken.

Door Anoniem:
De aanvallers wilden een meeting met de Axios-maintainer via Microsoft Teams. Daarbij kreeg de maintainer een melding te zien dat software op zijn systeem verouderd was en hij iets moest installeren. De maintainer deed dit
O wat dom zeg. Zo wie zo geen gesloten teams gebruiken!
Je kunt inderdaad beter vertrouwen op opensource frameworks.

O wacht even.
Inderdaad zo als Django. Batteries included! https://www.djangoproject.com/
Reageer met quote
04-04-2026, 11:13 door Anoniem
Het is wel toevallig dat de uitgelekte Claude agent code ook gebruik maakt van Axios.
Reageer met quote
04-04-2026, 15:06 door Anoniem
Door Anoniem: Het is wel toevallig dat de uitgelekte Claude agent code ook gebruik maakt van Axios.

Wel toevallig dat Pietje ook over de A4 rijdt.
Wel toevallig dat Keesje ook de bij AH boodschappen doet.
Wel toevallig dat code X ook met GCC gecompileerd is.
Wel toevallig dat project Y ook in Python geschreven is.

Axios is gewoon een erg veel gebruikte library .
Het lek van Claude agent code lijkt op geen enkele manier een relatie te hebben met Axios of de Axios backdoor .
Reageer met quote
04-04-2026, 19:16 door Anoniem
Berichten dat er iets verouderd is, en je moet een TERMINAL openen voor iets te installeren IS ALTIJD FOUTE BOEL.
Reageer met quote
04-04-2026, 20:37 door Anoniem
Door Anoniem: Berichten dat er iets verouderd is, en je moet een TERMINAL openen voor iets te installeren IS ALTIJD FOUTE BOEL.

Oh, dacht we hier op een Linux liefhebber forum zaten die alles in de terminal doen , even simpel
apt get abc.dpkg enzo .
Want bestaat niet dat je op Linux een driver update nodig zou hebben .


Gezien Apple - Maar goed dat je weet dat aanvallers niet staat zijn om een .dmg met installer te maken hoor, stelt me enorm gerust .



First thing is typically delivered as part of a social engineering ploy involving a fake Zoom or MS Teams call. There's A LOT leading up to the call. It's not urgent, pressing, suspicious at all. It's not a one-click, get phished. They'll schedule a call for next week and then reschedule it for the week after. It's crazy disarming.

Once you're on the call you can see the actual people that you are supposed to meet. This is IN BROWSER. It's not an app. There are NO exe's or installs! They use the real SDKs and CSS so it's clean as fuck, too. But....the audio doesn't work. The UI prompts you to fix your shit. The guy you're on the call with is pinging you telling you how to fix it and assuring you its fine.

You click and it downloads an AppleScript which runs when you click that. Or they have you copy/paste into terminal thing. It's all VERY simple. Like 1 line of code with a bunch of other lines to make it look legit. Basically the same as the malicious Axios update except you do it instead of npm install/run doing it for you.


Als het zo goed gedaan wordt is het echt moeilijk om te doorzien.
Reageer met quote
05-04-2026, 09:35 door Anoniem
https://www.bleepingcomputer.com/news/security/axios-npm-hack-used-fake-teams-error-fix-to-hijack-maintainer-account/

Er is behoorlijk werk van gemaakt, niet de gemiddelde phishing expeditie
Reageer met quote
05-04-2026, 11:38 door Anoniem
Door Anoniem: Oh, dacht we hier op een Linux liefhebber forum zaten die alles in de terminal doen , even simpel
apt get abc.dpkg enzo .
Want bestaat niet dat je op Linux een driver update nodig zou hebben .
Een upgrade¹ van een driver komt gewoon mee met de upgrades die je voor je hele systeem doet. Dit is, ook als je in Linux veel met de terminal doet (voor mij al ruim een kwart eeuw dagelijks), totaal afwijkend.

¹: Ik gebruik het woord upgrade in plaats van update omdat in apt, dat jij noemt, de term update betekent dat alleen de lijsten van actuele versies worden binnengehaald en voor het bijwerken van de software zelf de term upgrade wordt gebruikt.
Reageer met quote
05-04-2026, 20:13 door Anoniem
Door Anoniem:
Door Anoniem: Oh, dacht we hier op een Linux liefhebber forum zaten die alles in de terminal doen , even simpel
apt get abc.dpkg enzo .
Want bestaat niet dat je op Linux een driver update nodig zou hebben .
Een upgrade¹ van een driver komt gewoon mee met de upgrades die je voor je hele systeem doet. Dit is, ook als je in Linux veel met de terminal doet (voor mij al ruim een kwart eeuw dagelijks), totaal afwijkend.

Juist drivers moet je in Linux echt wel eens "out of tree" halen, of uit "unstable", of de "vendor driver" .
Idem voor printer ppds .
Hangt er natuurlijk vanaf hoe obscuur je kaart of systeem is, of hoe hard de zoveelste compressie codec nodig was voor wat je deed.


¹: Ik gebruik het woord upgrade in plaats van update omdat in apt, dat jij noemt, de term update betekent dat alleen de lijsten van actuele versies worden binnengehaald en voor het bijwerken van de software zelf de term upgrade wordt gebruikt.

curl https://file.dpkg
apt-get install ./file.dpkg
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure Full Stack Training 2026 Salt Road: Compromised Components